[datensicherheit.de, 25.06.2024] Ab Oktober 2024 wird die NIS-2-Richtlinie für Unternehmen in Deutschland verbindlich: Konkret müssen dann Unternehmen in sogenannten Kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur sowie öffentliche Verwaltungen und Forschungseinrichtungen diese EU-Richtlinie einhalten. „Diese Richtlinie, die im Januar 2023 verabschiedet wurde, bringt einige grundlegende Veränderungen mit sich, insbesondere für Unternehmen in Kritischen Sektoren“, ruft Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme in Erinnerung. Sie erläutert die Implikationen: „Für sie bedeutet es jetzt, proaktiv zu handeln, denn sie müssen bis Oktober spezifische Sicherheitsmaßnahmen implementieren, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören die Einführung von Sicherheitsvorkehrungen wie Verschlüsselung, Zugangskontrolle und Incident-Response-Plänen sowie die Meldepflicht von Sicherheitsvorfällen an die nationalen Behörden.“

Foto: PSW GROUP

Patrycja Schrenk warnt Unternehmen eindringlich vor den Konsequenzen einer Nichteinhaltung der NIS-2-Richtlinie

Umsetzungspflicht der NIS-2-Richtlinie betrifft auch mittelständische Unternehmen

Die NIS-2-Richtlinie sei ein wichtiger Schritt zur Stärkung der Resilienz gegenüber Cyber-Bedrohungen, denn sie lege Mindeststandards fest, um eine einheitliche und effektive Sicherheitsstruktur für Netz- und Informationssysteme in der gesamten Europäischen Union (EU) zu gewährleisten.

Die Umsetzungspflicht der NIS-2-Richtlinie betreffe dabei nicht nur große Unternehmen, sondern auch mittelständische Unternehmen. Unternehmen mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von zehn bis 50 Millionen Euro bzw. einer Bilanzsumme von bis zu 43 Millionen Euro seien ebenfalls betroffen.

NIS-2-Auswirkungen auf Unternehmen: Es besteht Handlungsbedarf!

Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden und potenzielle Sanktionen zu vermeiden, sollten Unternehmen jetzt wichtige Maßnahmen ergreifen. Schrenk gibt konkrete Handlungsempfehlungen: Zunächst einmal sollten Unternehmen prüfen, ob sie in den Anwendungsbereich der NIS-2-Richtlinie fallen und sich dann ggf. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. „Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren“, so Schrenk.

Basierend auf den Ergebnissen dieser Analyse sollten angemessene Technische und Organisatorische Maßnahmen (TOM) implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. „Der Einsatz von Kryptographie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen. Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und ,Asset Management’, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen“, betont Schrenk.

Beschäftigte betroffener Unternehmen sollten jetzt regelmäßig in Cybersecurity geschult werden

Mit der Etablierung sicherer Kommunikationskanäle für Sprach-, Video- und Textkommunikation könne auch im Notfall eine unterbrechungsfreie Kommunikation gewährleistet werden. Zudem sollten Beschäftigte gemäß NIS-2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren.

Ein effektives Krisenmanagement sei entscheidend, um bei einem die IT-Sicherheit betreffenden Vorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hierzu klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.

Unternehmen und Leitungsebene können in die Haftung kommen

„Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden“, warnt Schrenk eindringlich vor den Konsequenzen einer Nichteinhaltung dieser EU-Richtlinie.

Mit einem umfangreichen Angebot an digitalen Zertifikaten und Experten, welche bei der Umsetzung der Anforderungen aus der ISO 27001 unterstützten, stehe die PSW GROUP Unternehmen zur Seite, um die Cyber-Sicherheit zu stärken und widerstandsfähiger gegen Cyber-Bedrohungen zu machen.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhnee, 21.05.2024
NIS2-Richtlinie: Das ändert sich für Unternehmen ab Oktober 2024

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

[datensicherheit.de, 03.06.2024] Betrugsversuche per Telefon sind schon geradezu klassische Methoden – neu indes ist laut einer aktuellen Stellungnahme der PSW GROUP der zusätzliche Einsatz Künstlicher Intelligenz (KI), um mittels sogenanntem Voice Cloning täuschend echte Fake-Anrufe zu initiieren. Mithilfe von Audio-Deepfakes ahmten Cyber-Kriminelle die Stimmen von Familienmitgliedern, Kollegen oder Freunden nach und täuschten ihre Opfer mit gefälschten Sprachnachrichten – „in denen sie um Hilfe bitten“. Dabei forderten sie oft große Geldbeträge, vorgeblich etwa für dringend benötigte medizinische Behandlungen oder als Kaution zur Haftentlassung.

Foto: PSW GROUP

Patrycja Schrenk: Fake-Anrufe stellen eine zunehmende Bedrohung dar, die nicht nur lästig, sondern auch gefährlich sein kann!

Gut vorbereitete Cyber-Kriminelle nutzen KI für täuschend echt scheinende Telefonate mit gefälschter Stimme

„Fake-Anrufe, insbesondere durch Techniken wie Call-ID-Spoofing und ,Voice Cloning’, stellen eine zunehmende Bedrohung dar, die nicht nur lästig, sondern auch gefährlich sein kann“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, und führt weiter aus: „Die Bandbreite der Risiken reicht von Identitätsdiebstahl über Phishing bis hin zu Erpressung und Störung von Diensten.“ Cyber-Kriminelle nutzten mittlerweile auch Audio-Deepfakes für hochentwickelte Social-Engineering-Angriffe gegen Unternehmen.

Schrenk erläutert hierzu: „Heutzutage können Kriminelle recht leicht an die Stimme einer Person gelangen. Soziale Medienplattformen wie ,TikTok’, ,YouTube’, ,facebook’ und ,Instagram’ bieten ihnen zahlreiche Quellen. Programme zum Fälschen oder Klonen von Stimmen sind leicht zugänglich und erfordern nur wenige Sprachaufnahmen, um eine halbwegs überzeugende Imitation zu erstellen.“

Im sogenannten Darknet beschafften sich Angreifer zudem Informationen wie Telefonnummern und persönliche Daten ihrer Opfer, um authentisch zu wirken. Anschließend müssten die Betrüger lediglich die gewünschten Wörter oder Sätze eingeben und könnten so am Telefon eine gefälschte Unterhaltung führen.

Erkennung KI-generierter Stimmen eine technische Herausforderung

Die Erkennung einer KI-generierten Stimme stelle technisch eine Herausforderung dar. Dennoch gebe es einige Anzeichen, die darauf hinweisen könnten, dass der Anruf nicht authentisch ist:

Lücken in der Konversation oder Unnatürlichkeiten im Dialog könnten Hinweise darauf geben, dass die Stimme künstlich erstellt worden ist.

„Wer Zweifel an der Identität des Anrufers hat, sollte unbedingt nach zusätzlichen Informationen fragen, um die Identität zu überprüfen. Ein geheimes Codewort oder eine spezifische Frage, die nur die echte Person beantworten kann, kann helfen, den Anruf zu verifizieren“, empfiehlt Schrenk.

KI erlaubt emotionale Adressierung: Misstrauisch gegenüber Anrufen insbesondere bei Geldforderungen geboten

Misstrauisch gegenüber Anrufen sollte jeder werden, wenn plötzlich Geldbeträge gefordert werden, insbesondere für unerwartete Situationen wie medizinische oder soziale Notfälle: „Die einfachste Reaktion auf einen verdächtigen Anruf ist tatsächlich, einfach aufzulegen oder den Anruf unbeantwortet zu lassen. Das gilt auch, wenn persönliche Informationen gefordert werden oder bei Werbeanrufen“, so Schrenk.

Apropos Werbeanrufe: Das Wort „ja“ sollte unbedingt vermieden werden, da es von Kriminellen aufgezeichnet und später für betrügerische Zwecke – zum Beispiel zur Zustimmung eines Vertrags – verwendet werden könnte. „Gerade bei unbekannten Anrufen neigen wir im privaten Umfeld dazu, uns mit ,ja’ statt mit unserem Namen zu melden. Aber schon dieses ,Ja’ kann von Betrügern als Zustimmung missbraucht werden.“ Schrenk rät, sich besser mit einem „Hallo“ zu melden und bei unerwünschten Werbeanrufen klar und bestimmt die Ablehnung zum Ausdruck zu bringen und aufzulegen. „Wer doch in die Falle getappt ist und einen Vertrag am Telefon abgeschlossen hat, sollte mit einer Frist von 14 Tagen widerrufen – am besten aber unverzüglich.“ Flattern dennoch plötzlich Zahlungsaufforderungen ins Haus, halte die Verbraucherzentrale Musterbriefe gegen diese unberechtigten Forderungen bereit.

Betrügerische Anrufe könnten zudem an die Bundesnetzagentur gemeldet werden, um andere vor ähnlichen Aktivitäten zu schützen. Dabei helfe es, so viele Informationen wie möglich über den Anruf mitzuteilen: Datum, Telefonnummer, Namen der Firma – und idealerweise den des Anrufers. „Wer mit betrügerischen Anrufen konfrontiert wird, kann auch seinen Mobilfunkanbieter oder Telefonunternehmen kontaktieren. Sie können dabei helfen, eine Liste von blockierten Nummern zu führen oder bieten Apps oder Dienste an, die betrügerische Anrufe erkennen und blockieren.“ Darüber hinaus böten einige Unternehmen auch zusätzliche Sicherheitsfunktionen wie Anrufüberprüfung oder Identitätsbestätigung an.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 26.04.2024
Bedrohungslage / Fake-Anruf: Was tun bei einem unerwünschten Anruf?

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

[datensicherheit.de, 08.04.2024] Als im Februar 2024 die Meldung über die erfolgreiche Zerschlagung der „Lockbit“-Ransomware-Gruppe um die Welt ging, wurde dies als ein entscheidender Schlag internationaler Ermittlungsbehörden gegen die Cyber-Kriminalität gewürdigt. Doch gerade einmal eine Woche später, Anfang März 2024, hat sich laut einer aktuellen Meldung der PSW GROUP diese gefährliche Hacker-Gruppe auch schon wieder zurückgemeldet: In einer Stellungnahme habe diese gar eigene Fehler zugegeben und erklärt, weiterhin aktiv zu sein.

Foto: PSW GROUP

Patrycja Schrenk rät, weiterhin in die Verteidigung digitaler Infrastrukturen zu investieren, Cyber-Sicherheitsmaßnahmen zu verbessern und Fähigkeit zur Erkennung sowie Reaktion auf Bedrohungen ständig weiterentwickeln!

Dass die Lockbit-Gruppe so schnell wieder aktiv wurde, ist äußerst beunruhigend

„In der Welt der Cyber-Kriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der ,Lockbit’-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die ,Lockbit’-Gruppe so schnell wieder aktiv geworden ist“, kommentiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Das schnelle „Comeback“ dieser Gruppe verdeutliche die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. „Lockbit“ bleibe weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Lockbit hatte lange Zeit das Image des unangefochtenen Königs der Ransomware

Tatsächlich habe „Lockbit“ lange Zeit als unangefochtener „König der Ransomware“ gegolten: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen laut Schrenk wohl auf das Konto dieser Hacker-Gruppe. Dabei solle sie mehrere Millionen Dollar von Tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA würden der Gruppe Angriffe auf mehr als 1.700 Organisationen vorgeworfen. „Lockbit“ habe es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern.

„Was ,Lockbit’ besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert ,Lockbit’ größtenteils als Dienstleister im Cybercrime-Umfeld.“ Die Gruppe stelle ihre Schadsoftware anderen Kriminellen zur Verfügung, welche dann die Angriffe ausführten, mit den Opfern verhandelten und Lösegeld erpressten. Für diese Dienstleistung kassiere „Lockbit“ eine Art Lizenzgebühr – „mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde“, so Schrenk.

Trotz Beschlagnahmung von Servern konnten Behörden nicht alle Lockbit-Domains übernehmen

Diese erfolgreiche Cybercrime-Gruppe sei den Strafverfolgungsbehörden Anfang des Jahres 2024 ins Netz gegangen, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache „PHP“ hätten ausnutzen können – normalerweise seien ungepatchte IT-Sicherheitslücken das Geschäftsmodell von „Lockbit“. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der „Operation Cronos“ hätten die Behörden nicht alle Domains von „Lockbit“ übernehmen können:

Die Gruppe habe sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurückgemeldet. In einer Stellungnahme Anfang März 2024 hätten sie zugegeben, dass ihre eigenen Systeme nicht auf dem neuesten Stand gewesen seien, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behaupte die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates habe sie bereits aufgefordert, staatliche Einrichtungen häufiger ins Visier zu nehmen.

Zerschlagung einer Ransomware-Gruppe wie Lockbit löst grundsätzliches Problem nicht

„Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyber-Angriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyber-Kriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem.“

Die Zerschlagung dieser Cyber-Kriminellen sei ein wichtiger Schritt, „aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen“, warnt Schrenk. Man müsse weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyber-Kriminalität Schritt zu halten.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 05.03.2024
Bedrohungslage / Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

datensicherheit.de, 26.02.2024]
LockBit-Disruption: Strafverfolgungsbehörden nutzten Trend Micros Expertise / Neueste, noch unveröffentlichte LockBit-Version wurde von Trend Micro analysiert und vereitelt

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

[datensicherheit.de, 18.03.2024] Nach Ansicht von Patrycja Schrenk, Geschäftsführerin der PSW GROUP, hat die Europäische Union (EU) mit der sogenannten KI-Verordnung („Artificial Intelligence Act“ / AI Act) einen bedeutenden Schritt unternommen, um den Missbrauch von Daten zu unterbinden und die Privatsphäre ihrer Bürger zu schützen: „Diese Verordnung ist wegweisend, denn sie legt klare Regeln und Anforderungen für Unternehmen fest, die KI-Systeme entwickeln oder nutzen.“

Foto: PSW GROUP

Patrycja Schrenk: Die zunehmende KI-Präsenz in unserem Alltag erfordert eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren!

Ziele der KI-Verordnung vielfältig

Die Ziele der KI-Verordnung seien vielfältig: „Sie zielt zum einen darauf ab, dass KI-Systeme die Würde, Privatsphäre und andere Grundrechte von Menschen respektieren, zum anderen aber auch darauf, das Vertrauen in KI-Systeme zu stärken.“ Zudem solle diese Verordnung die europäische Wirtschaft unterstützen – indem sie demnach einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schafft. Durch die Einstufung von KI-Systemen in verschiedene Risikoklassen würden Anforderungen und Pflichten festgelegt, um das Risiko für den Missbrauch von Daten zu minimieren.

Eine Schlüsselbestimmung der Verordnung sei die Transparenz und Verantwortlichkeit bei der Datenverarbeitung durch KI-Systeme: „Bei Nutzung von KI-Systemen, wie ,Chatbots’ beispielsweise, sollten Nutzende wissen, dass sie mit einer Maschine interagieren. Zudem müssen KI-generierte Inhalte wie ,Deep Fakes’ als solche kenntlich gemacht werden und Anbieter sind angehalten sicherzustellen, dass synthetische Audio-, Video-, Text- und Bildinhalte als künstlich erzeugt oder manipuliert erkennbar sind“, erläutert Schrenk.

Negative Auswirkungen auf Grundrechte durch KI-Einsatz erkennen, bewerten und verhindern

Neue Regelungen in der Verordnung beträfen unter anderem Pflichten zur Dokumentation, „Governance“ und zum Risikomanagement sowie die Einführung einer verpflichtenden Prüfung zur Wahrung der Grundrechte. Diese Prüfung ähnele der Datenschutz-Folgenabschätzung und diene dazu, negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser zu erkennen, zu bewerten und zu verhindern.

„Darüber hinaus erhalten diejenigen, die von KI-Systemen betroffen sind, ein gesetzliches Recht auf Beschwerde und Auskunft bei Entscheidungen, die von KI-Systemen getroffen werden“, so Schrenk. Bei Verstößen gegen die KI-Verordnung drohten hohe Bußgelder von bis zu 40 Millionen Euro oder bis zu sieben Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres.

KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen

„Die KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen. Sie müssen zunächst ihre KI-Systeme identifizieren und klassifizieren. Zudem gibt es auch bereits andere gesetzliche Vorgaben für den Einsatz von KI, wie Datenschutz, Urheberrecht und Schutz von Geschäftsgeheimnissen, die beachtet werden sollten.“

Gleichzeitig eröffnet diese Verordnung laut Schrenk aber auch Chancen für eine transparente und verantwortungsvolle Nutzung von KI-Systemen – denn sie lege Wert auf Transparenz und Rechenschaftspflicht bei der Datenverarbeitung und stärke so das Vertrauen der Verbraucher in KI-Technologien.

Bis KI-Verordnung in Kraft tritt, wird es noch etwas dauern

Schrenk begrüßt nach eigenen Angaben diese Entwicklung. Die zunehmende KI-Präsenz in unserem Alltag erfordere eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren. Sie erläutert: „Immerhin ist von Empfehlungssystemen bis hin zu Systemen, die über Kreditvergaben oder Jobangebote entscheiden, die Bandbreite der Anwendungen enorm gewachsen.“

Bis die KI-Verordnung in Kraft tritt, dürfte noch einige Zeit vergehen: „Sie wurde am 8. Dezember 2023 politisch vereinbart, derzeit wird der Text des ,AI Acts’ finalisiert und muss anschließend noch vom Europäischen Parlament und vom Rat angenommen werden.“ Zudem werde es einen Übergangszeitraum geben, bevor die Verordnung in Kraft tritt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2024
EU AI Act: Peter Sandkuijl kommentiert KI-Gesetz aus IT-Security-Sicht / KI-Gesetz soll Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen

datensicherheit.de, 14.03.2024
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung / Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

PSW GROUP Consulting Blog, 10.01.2024
Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsphäre schützt

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

[datensicherheit.de, 09.01.2024] Der Anteil der Spam-Mails am gesamten E-Mail-Verkehr liegt laut einer aktuellen Stellungnahme der PSW GROUP „weltweit bei rund 45,2 Prozent“. Damit sei jede zweite E-Mail nicht nur eine lästige Erscheinung, sondern auch eine erhebliche Gefahr, weil von ihr betrügerische Absichten – wie Phishing oder die Verbreitung von Malware – ausgehen könnten.

Foto: PSW GROUP

Patrycja Schrenk: Es gibt zahlreiche Merkmale und Faktoren, die darauf hinweisen können, dass eine Nachricht potenziell schädlich ist!

Erfolgsaussicht einer Spam-Aktion basiert auf Quantität

Obwohl das Spam-Volumen seinen Höhepunkt inzwischen überschritten habe, seien Spammer raffinierter geworden, um an personenbezogene Daten heranzukommen. Wie es ihnen gelingt, an die E-Mail Adressen ihrer Opfer zu gelangen, erläutert PSW-Geschäftsführerin Patrycja Schrenk: „Sehr verbreitet ist der Adresshandel, bei dem Spammer die Daten von Adresshändlern kaufen oder mieten. Außerdem greifen Spammer auf das sogenannte Web Scraping zurück, bei dem mithilfe von Programmen Webseiten systematisch nach E-Mail-Adressen durchsucht und diese herausgefiltert werden.“

Der Erfolg der E-Mail-Spam-Aktion basiere dann auf Quantität und so werde dieselbe vorgefertigte Nachricht mittels Spam-Bots an unzählige Empfänger der vorher gesammelten Kontaktliste verschickt – „in der Hoffnung, dass jemand wunschgemäß reagiert“.

Spam als konkrete Bedrohung

Spam sei aber nicht nur potenziell gefährlich, denn Klicks auf zweifelhafte Links könnten zu Pop-ups führen, „Abofallen“ auslösen und Viren sowie Schadsoftware installieren oder nachladen, die beispielsweise sensible Daten ausspionierten. Spam koste Unternehmen auch viel Geld. Denn die unerwünschten E-Mails beeinträchtigten die Servicequalität von Unternehmen, da die Verarbeitung und Entsorgung von Spam Systembandbreite und Arbeitszeit der Mitarbeiter beanspruche.

Der Einsatz von „Traffic Distribution Systems“ ermögliche es den Spammern, ihre Kampagnen effektiv zu gestalten und verschiedene Arten von Spam, Ransomware und Malware an unterschiedlichen Orten zu verteilen. Diese ausgefeilten Verteilungstechnik erhöhe somit das Risiko und die Kosten für Unternehmen und Privatpersonen erheblich, sich gegen diese Angriffe zu schützen. Die Unterscheidung zwischen Spam, d.h. unerwünschter Massen-E-Mail, einerseits und erwünschter Massen-E-Mail andererseits unter Berücksichtigung der verschiedenen Benutzeranforderungen und Risiken sei damit eine Herausforderung für jede IT-Abteilung.

Tipps zum Erkennen von Spam E-Mails:

Kritischer Blick auf die angegebene Absenderadresse empfohlen
„Spam ist eine allgegenwärtige Bedrohung, aber es gibt zahlreiche Merkmale und Faktoren, die darauf hinweisen können, dass eine Nachricht potenziell schädlich ist“, führt Schrenk weiter aus. Die IT-Sicherheitsexpertin rät deshalb, auf die verschiedene Anzeichen zu achten, um sich vor möglichen Gefahren zu schützen: „Spammer verwenden häufig E-Mail-Accounts, die durch Hacks oder auch automatisch von ihnen erstellt wurden. Wenn die Absenderadresse eine private ist und der Absendername ,Amazon’, ,PayPal’ oder auch ein Paket-Lieferdienst ist, steckt meist Spam dahinter.“ Insbesondere beim Phishing nutzten die Täter häufig E-Mail-Adressen, welche zumindest ähnlich den wahren Absendern aussähen. „Falls also eine E-Mail behauptet, von einer Firma zu stammen, hilft ein kritischer Blick auf die angegebene Absenderadresse, ob sie tatsächlich von der genannten Firma stammt“, betont Schrenk.

Spam oft ohne persönliche Ansprache
Ein weiteres Warnsignal sei eine fehlende oder anonyme Ansprache in der Nachricht. Seriöse Unternehmen verwendeten in der Regel personalisierte Anreden, während Spam oft ohne persönliche Ansprache daherkommt. „Doch auch hier ist Vorsicht geboten, da Hacker gestohlene Datenbanken nutzen können, um personalisierte Nachrichten zu verschicken“, warnt Schrenk. Sprachliche Unzulänglichkeiten, wie Grammatik- und Rechtschreibfehler, seien ebenfalls ein Hinweis auf Spam, „insbesondere wenn der Text maschinell generiert und übersetzt wurde“.

Verschleiern der Links durch Link-Shorter
Auch die gesamte Intention der E-Mail sei entscheidend: Wenn der Absender auffordert, auf einen Link zu klicken oder eine Datei im Anhang zu öffnen, bestehe die Gefahr von Phishing oder Malware. „Ein cleverer Trick von Spammern ist das Verschleiern von Links durch sogenannte Link-Shorter. Die Adressen lassen sich aber durch einen ,Mouseover’ überprüfen und so mögliche Betrugsversuche entlarven“, so Schrenk.

Anhänge stets mit Skepsis betrachten
Die Kongruenz zwischen Inhalt und Absender sei ein weiterer kritischer Faktor: Empfehlungen für Apps oder Angebote in den E-Mails sollten zu der Person passen, die sie angeblich sendet. Denn oft kauften Spammer gehackte Konten und verbreiteten ihren Spam an das gesamte Adressbuch oder die Kontakte der Opfer. „Anhänge, insbesondere in Form von Zip-, ,Word’- oder ,Excel’-Dateien, sind stets mit Skepsis zu betrachten. Das Öffnen solcher Dateien kann nämlich Schadsoftware oder Malware enthalten oder nachladen. Ich rate deshalb, nur bei bekannten und vertrauenswürdigen Absendern den E-Mail-Anhang zu öffnen und im Zweifelsfall auch direkt beim vermeintlichen Absender nachfragen, um die Sicherheit zu gewährleisten“, unterstreicht Schrenk.

Ruhe bewahren trotz vermeintlichen Zeitdrucks
Ein weiterer Trick von Spammern sei der Einsatz von Druck: Drohungen von vermeintlichen Anwälten oder Strafverfolgern sollten die Empfänger zu überstürzten Handlungen verleiten. Schrenk macht deutlich: „Angebote oder Handlungsaufforderungen, die unter Zeitdruck stehen, sollten immer mit Vorsicht behandelt werden. Es ist ratsam, Ruhe zu bewahren und die E-Mail sorgfältig zu prüfen. Oft finden sich weitere Anzeichen für Spam, die eine fundierte Entscheidung ermöglichen.“

Spam-Mails mittels -Filter blockieren

Die häufigste Art von Spam sei die mit einem klaren Werbezweck. Diese E-Mails enthielten häufig Links zu Produkten, die beworben werden, „und bergen die Gefahr von Malvertising, insbesondere durch schädliche Dateianhänge“. Um diesem Risiko vorzubeugen, setzten die meisten E-Mail-Anbieter auf spezielle Spam-Filter, um unerwünschte Nachrichten entweder zu blockieren oder direkt in den Spam-Ordner zu verschieben.

„Einige E-Mail-Anbieter filtern Spam auch automatisch heraus. Das erfolgt durch die Verwendung von Absenderlisten, die für den Versand von Spam bekannt sind“, ergänzt Schrenk abschließend. Von solchen automatisch gefilterten E-Mails bekämen Anwender in der Regel nichts mit. Viele E-Mail-Dienste böten zudem die Möglichkeit, eigene Spam-Richtlinien zu erstellen.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 30.11.2023
IT-Security / Spam-Mails erkennen & Spam vermeiden: So einfach geht’s!

datensicherheit.de, 08.08.2019
Spam- und Phishing-Inhalte: Verbreitung über legitime Websites / Cyber-Kriminelle missbrauchen Internet-Präsenzen von Unternehmen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links

[datensicherheit.de, 27.09.2023] Von Übersetzungs-Tools über Werbeblocker bis hin zu Passwort-Managern – die Nutzung von Browser-Erweiterungen zur Anpassung und Verbesserung des Online-Erlebnisses ist heutzutage offensichtlich weit verbreitet. Diese kleinen Programme sollen zahlreiche Funktionen bieten, um das Surfen im Internet komfortabler und effizienter zu gestalten. Doch Patrycja Schrenk, Geschäftsführerin der PSW GROUP, rät zur Vorsicht: „Browser-Erweiterungen bergen auch ein Sicherheitsrisiko – insbesondere dann, wenn sie nicht sorgfältig überprüft oder aus nicht vertrauenswürdigen Quellen heruntergeladen werden!“ Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssten sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. „Allerdings bergen umfangreiche Berechtigungen immer auch ein Sicherheitsrisiko, da sie das Potenzial für Missbrauch erhöhen“, warnt Schrenk. Cyber-Kriminelle könnten nämlich scheinbar harmlose Erweiterungen in echte Bedrohungen verwandeln – „mit denen sie dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opfer-Rechner mit Malware infizieren“.

Foto: PSW GROUP

Patrycja Schrenk: Je weniger Browser-Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen!

Ein Sortiment verschiedener schädlicher Browser-Erweiterungen

Tatsächlich existiere eine ganze Reihe verschiedener schädlicher Browser-Erweiterungen, allen voran betrügerische „WebSearch“-Erweiterungen für „Office“-Dateien. Diese Erweiterungen geben demnach vor, nützliche Tools für „Office“-Dateien zu sein, manipulierten jedoch heimlich die Browser-Suche und fügten Affiliate-Links zu Drittanbieter-Ressourcen ein.

Schrenk berichtet: „Viele ,WebSearch’-Erweiterungen sind inzwischen für ihre betrügerischen Aktivitäten bekannt. Nach ihrer Installation ersetzen sie die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgen Affiliate-Links zu Drittanbieter-Ressourcen wie ,AliExpress’ oder ,Farfetch’.“ Zudem änderten sie auch die Standard-Suchmaschine in „search.myway“. Dies ermögliche es den Cyber-Kriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten.

Änderung der Standard-Suchmaschine des Browsers

Bei Cyber-Kriminellen ebenfalls beliebt seien die Adware-Erweiterung der „DealPly“-Familie. Diese Adware-Erweiterungen würden oft mit raubkopierten Inhalten verbreitet und ersetzten ebenfalls unbemerkt die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthalte. Zusätzlich änderten sie die Standard-Suchmaschine des Browsers und verfolgten die Suchanfragen der Nutzer, um personalisierte Werbeanzeigen einzublenden.

„Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyber-Kriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern“, so Schrenk.

Browser-Erweiterungen der AddScript-Familie missbrauchen sogar legitime Technologien und Praktiken

Mit der Erweiterungen der „AddScript“-Familie missbrauchten Cyber-Kriminelle sogar legitime Technologien und Praktiken für ihre illegalen Zwecke: Diese Erweiterungen präsentierten sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizierten aber das Gerät ihres Opfers mit Schadsoftware. „Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen.“ Dies erzeuge Einnahmen für die Angreifer, da einige Website-Anbieter Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisteten.

Schrenk warnt auch zugleich vor dem Cookie-Dieb „FB-Stealer“: „Mit Hilfe dieser schädlichen Erweiterungen stehlen Cyber-Kriminelle Sitzungscookies von Nutzenden des Sozialen Netzwerks ,facebook’, womit sie ohne jegliche Passwortabfrage Zugriff auf das ,facebook’-Konto ihres Opfers erhalten. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.“ Die „FB-Stealer“-Erweiterung gelange häufig zusammen mit dem Trojaner „NullMixer“ auf das Gerät des Opfers, welches sich „NullMixer“ beim Download gehackter Software-Installer einfange.

FriarFox – Firefox-Browser-Plugin seit mehreren Monaten aktiv

Seit mehreren Monaten aktiv sei auch das „Firefox“-Browser-Plugin „FriarFox“, welches Angreifern den Zugriff auf die „Gmail“-Konten ihrer Opfer gewähre. Verteilt werde die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, welcher zu einer gefälschten Landing-Page mit einem vermeintlichen „Adobe Flash Player Update“ führe. Sobald das Opfer den Link anklickt, werden laut Schrenk „JavaScript“-Dateien ausgeführt, welche prüften, ob bestimmte Kriterien erfüllt sind – etwa, ob der Link mittels „Firefox“ geöffnet wurde und ob eine aktive User-Session in „Gmail“ ausgeführt wird. Ist dies der Fall, werde die „FireFox“-Browser-Erweiterung durch eine „XPI“-Datei installiert, welche den Cyber-Kriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewähre.

Nutzer seien indes solchen schadhaften Browser-Erweiterungen nicht schutzlos ausgeliefert. Allerdings sollten diese stets sorgfältig ausgewählt und ausschließlich aus vertrauenswürdigen Quellen, beispielsweise aus den offiziellen WebStores der Browser, bezogen werden. „Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, dort an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer“, erläutert Schrenk.

Browser-Erweiterungen nur für deren Funktion unbedingt erforderliche Berechtigungen erteilen!

Wer seinen Browser-Erweiterungen zudem nur diejenigen Berechtigungen gewährt, welche für deren Funktion unbedingt erforderlich sind und zusätzlich sicherstellt, dass die Browser-Erweiterungen regelmäßig aktualisiert werden – zum Beispiel durch das Aktivieren der automatischen Update-Funktion – habe weitere wichtige Schutzmaßnahmen ergriffen. Schrenks Tipp: „Es lohnt sich auch, die Bewertungen und Erfahrungsberichte anderer Nutzenden zu lesen, bevor eine Erweiterung installiert wird. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung.“

Schrenk selbst installiert nach eigenen Angaben außerdem auch „nur Erweiterungen, die ich wirklich benötige“ – und deaktiviert oder entfernt Erweiterungen, welche sie nicht nutzt. „Und das rate ich auch jedem anderen, denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 09.08.2023
Bedrohungslage / Browser-Erweiterungen, Cookies & Co.: Ein unbekanntes Risiko

[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung der PSW GROUP treibt eine neue Ransomware-Bande namens „Cactus“ ihr Unwesen in der digitalen Welt: Diese Cyber-Kriminellen hätten es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. IT-Sicherheitsexpertin Patrycja Schrenk warnt: „Die ,Cactus’-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.“ Der Name „Cactus“ leitet sich demnach von dem angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung ab. Bislang sei noch nicht bekannt, wer hinter dieser neuen Ransomware-Bande steckt. „Die Ermittlungen laufen auf Hochtouren.“

Foto: PSW GROUP

Patrycja Schrenk rät, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten zu überwachen…

Im Fokus eines Cactus-Angriffs stehen Schwachstellen in bekannten VPN-Servern von Fortinet

„Was ,Cactus’, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, erläutert die Geschäftsführerin der PSW GROUP:

Über den VPN-Server griffen die Cyber-Kriminellen auf das Netzwerk zu und führten ein Batch-Script aus, durch welches die eigentliche Ransomware geladen werde. „Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.“ Mithilfe eines speziellen Schlüssels in der Befehlszeile könnten die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr hätten.

Die Cactus-Ransomware-Bande erhält weiteres Druckmittel

„Doch damit nicht genug“, so Schrenk – sie führt weiter aus: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyber-Kriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“

„Cactus“ habe vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollten die Forderungen bei bisherigen „Cactus“-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den „Cactus“-Angriffen betroffen sind, ist laut Schrenk noch nicht bekannt – „bisher wurden noch keine sensiblen Daten veröffentlicht“.

Ransomware Cactus äußerst gefährlich

„Die Ransomware ,Cactus’ ist äußerst gefährlich, da gängige Viren-Scanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, unterstreicht Schrenk und rät: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen.“

Auch rät sie abschließend, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere „PowerShell“, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen. Ergänzend lohne sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 13.06.2023
IT-Security / Ransomware Cactus: Angriffe auf VPN-Schwachstellen

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?