[datensicherheit.de, 21.06.2021] Security-Experten von G DATA haben nach eigenen Angaben ein Netzwerk-Rootkit entdeckt, welches demnach „Netzwerkanfragen auf einen Server mit einer chinesischen IP-Adresse umleitet“. Damit sei es möglich, den Datenverkehr gezielt zu manipulieren. „Ein Rootkit ermöglicht es einem Angreifer unter anderem, schädliche Aktivitäten effektiv vor dem Nutzer zu verstecken. Besonders brisant: Die Schadsoftware gibt sich als Netzwerktreiber aus und ist Mitte Mai 2021 von Microsoft mit einem gültigen Zertifikat signiert worden.“ Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei sei bereits im März 2021 signiert worden.

Microsoft signiert grundsätzlich nur schadcode-freie Treiber

Ursprünglich sei das Analyse-Team von G DATA CyberDefense von einer Falscherkennung ausgegangen. Eine genaue Untersuchung habe jedoch ergeben, „dass die Erkennung für diese Datei tatsächlich korrekt ist“. Microsoft signiere Treiber grundsätzlich nur dann, „wenn diese frei von Schadcode sind“.
Karsten Hahn, „Malware Analyst“ bei G DATA CyberDefense, berichtet: „Wir waren erst unsicher, ob die Datei wirklich schädlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die in der Regel nur bei Malware verwendet wird, um die Erkennung durch Sicherheitslösungen zu erschweren.“

Von Microsoft signierte Treiber im Normalfall immer als vertrauenswürdig eingestuft

Somit stehe der Verdacht im Raum, „dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist – oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen“, um beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber würden im Normalfall immer als „vertrauenswürdig“ eingestuft und hätten innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen.
„Windows 10“ lasse nur die Installation von Kernel-Treibern zu, „die von Microsoft signiert sind“. Das zuständige Team bei Microsoft sei über die Entdeckung bereits informiert worden. Erstmals sei die fragliche Datei mit der Erkennung „Win64.Rootkit.Netfilter.N“ in der 24. Kalenderwoche 2021 aufgefallen. Kunden von G DATA seien vor diesem Rootkit geschützt.

Weitere Informationen zum Thema:

G DATA
Aktuelle Warnung: Microsoft-signierte Malware ermöglicht gezielte Manipulation des Datenverkehrs

[datensicherheit.de, 06.05.2019] In seinem aktuellen Kommentar geht Michael Kretschmer, „Managing Director DACH“ bei Clearswift, auf Medienberichte ein, wonach Mailprogramme wie „Mozilla Thunderbird“ oder „Apple Mail“ unter bestimmten Bedingungen falsche Mail-Signaturen als richtig darstellen. Möglich sei dies durch eine fehlende Definition in Bezug auf das Mailprogramm geworden, welche besagt, was zu tun ist, wenn in einer E-Mail die Signaturen sowohl in einem „eContent“- als auch „MIME“-Teil gespeichert sind.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer, „Managing Director DACH“ bei Clearswift

Missbrauch einer signierten E-Mail eines anderen Nutzers

Ein potenzieller Angreifer habe diese Lücke nun ausnutzen können. Hierfür habe er nur die bereits signierte E-Mail eines Nutzers im „CMS“-Paket seiner E-Mail speichern und seinen unsignierten Text im „MIME“-Teil anhängen müssen. Beide Nachrichten seien somit als signiert und scheinbar vertrauenswürdig angezeigt worden.
Bei dem anderen geläufigen E-Mail-Verschlüsselungsstandard „OpenPGP“ hätten auf ähnliche Weise unsignierte Mails als vertrauenswürdig ausgegeben werden können. E-Mail-Programme hätten hierbei Nachrichten als durchgehend signiert dargestellt, „obwohl nur Teile ihres Inhalts signiert waren“.
Die Folgen könnten besonders für Unternehmen fatal sein, wenn Mitarbeiter bei signierten E.Mails davon ausgehen, Nachricht und Absender wären bekannt bzw. vertrauenswürdig. Kretschmer warnt: „Ein Angreifer kann somit sein Opfer dazu bringen, einen schadhaften Anhang zu öffnen oder vertrauliche Daten preiszugeben.“

Potenziell gefährliche Inhalte aus E-Mails und deren Anhängen herausfiltern!

Um sich vor solchen Angriffen zu schützen, sollten Firmen das Bewusstsein für E-Mail-Betrug bei ihren Angestellten schärfen. Das heißt, dass jede E-Mail „ungeachtet einer vorhandenen Signatur kritisch betrachtet wird“. Aufforderungen, auf eine unbekannte Website zu gehen oder Inhalt herunterzuladen, müssten mit äußerster Vorsicht betrachtet werden. Makros sollten in Dokumenten standardmäßig deaktiviert und ihre Ausführung nur dann gestattet sein, wenn die Authentizität der Nachricht vollständig gewiss ist.
Doch es sei davon auszugehen, dass auch dem aufmerksamsten und vorsichtigsten Mitarbeiter gelegentlich ein Fehler unterlaufen und er auf eine Betrugsmasche hereinfallen könne. Unternehmen sollten deshalb in eine Lösung investieren, „die potenziell gefährliche Inhalte aus Mails und deren Anhängen herausfiltert“, empfiehlt Kretschmer. Dies geschehe automatisch und ohne dass der Mitarbeiter aktiv eingreifen müsse. Darüber hinaus sollte der Netzwerkverkehr durchgehend auf verdächtige Leistungsspitzen und Verbindungen hin untersucht werden.
„Vorfälle wie diese werden in Zukunft nicht weniger, im Gegenteil. Unternehmen, die über die richtige Strategie in puncto E-Mail-Sicherheit verfügen, sind gegen solche und ähnliche Angriffe allerdings bestmöglich gewappnet“, so Kretschmer.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2019
Elektronische Signatur und Vertrauensdienste: Informationstag am 24. September 2019 in Berlin

datensicherheit.de, 16.04.2019
Phishing: Auch kleine Unternehmen sind Ziel

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails

datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

[datensicherheit.de, 27.01.2011] Vor dem Hintergrund der Diskussion über Verfahrensvereinfachungen in der Kommunikation zwischen Bürger und Verwaltung spricht sich der IT-Sicherheitsverband TeleTrusT Deutschland e.V. für ein grundsätzliches Festhalten an der „Qualifizierten Elektronischen Signatur“ (QES), aber auch für bessere, massenkompatible Anwendungslösungen aus:
Einzelne Kritikpunkte an der QES seien gerechtfertigt und müssten konstruktiv aufgegriffen werden. Es sei zu prüfen, ob in Abhängigkeit von Nutzen und Risiko neben der QES auch andere Formen der elektronischen Signatur geeignet sein könnten, so TeleTrusT. Eine Anpassung der rechtlichen Rahmenbedingungen könnte mehr Klarheit über die Anwendbarkeit dieser Signaturformen schaffen und die Verbreitung der elektronischen Signatur insgesamt stärken. Darüber hinaus sollte laut TeleTrusT über weitere technische Vereinfachungen bei der QES nachgedacht werden, um die Integration in Anwendungen und auf Anwenderseite zu erleichtern und darüber die geforderte Massenkompatibilität zu unterstützen.
TeleTrusT weist darauf hin, dass die QES in vollautomatisierten Geschäftsprozessen wie z. B. der sicheren Digitalisierung von Papierbelegen und bei der elektronischen Rechnungsstellung bereits erfolgreich zum Einsatz kommt. Dabei würden schon jetzt regelmäßig Millionen qualifizierter Signaturen erzeugt. Dieses Beispiel zeige, dass die QES als hoch spezialisiertes und effektives Werkzeug in wichtigen Prozessen breite Anerkennung gefunden habe.
Insbesondere in sensiblen Bereichen, in denen u.a. personenbezogene bzw. besonders schutzwürdige Daten ausgetauscht werden, sind erhöhte Sicherheitsmaßnahmen erforderlich. An dieser Stelle biete der neue Personalausweis (nPA) nach Ansicht von TeleTrusT durch seine starke Autorisierungsfunktion eine gute Basis, die auch auf anderen Gebieten, etwa dem Gesundheitswesen, mit der QES sinnvoll ergänzt werden müsse. Im Zuge der Einführung des nPA, der primär die Identifizierung und Authentifizierung sicherstelle, sollte die QES massentauglich und für alle zur Anwendung kommen, um die Vertrauenswürdigkeit von Transaktionen zu gewährleisten. Mit der Einführung des nPA bestehe die große Chance, die QES für alle Bürger nutzbar zu machen und somit medienbruchfreie Infrastrukturen und Verfahren zu etablieren.

Weitere Informationen zum Thema:

TeleTrusT, 27.01.2011
Stellungnahme zur Qualifizierten Elektronischen Signatur (QES)

[datensicherheit.de, 03.11.2010] Zu einem Hintergrundgespräch über elektronischen Rechnungsversand traf sich Herausgeber Dirk Pinnow auf der it-sa 2010 mit Uwe Ulbrich, einem der beiden Gründer und geschäftsführenden Gesellschafter des Software- und Systemhauses Net at Work Netzwerksysteme GmbH aus Paderborn:
Grundsätzlich böten die Umstellung des Rechnungsversands auf elektronische Dokumente und deren Transport per E-Mail enorme Einsparpotentiale – und zwar weit über die Portokosten eines Standardbriefs hinaus. Die Amortisationszeiten lägen z.T. gar unter einem Jahr, so Ulbrich. Aber vielfach schreckten noch die als kompliziert empfundenen technischen und organisatorischen Voraussetzungen ab.

© Net at Work Netzwerksysteme GmbH

Uwe Ulbrich: Trotz Einstiegshürden hohes Einsparpotenzial beim elektronischen Rechnungsversand

Sowohl EU-Recht wie nationales Recht sind zu beachten. So fordert die EU-Rechnungsrichtlinie für den elektronischen Versand von Rechnungen die Gewährleistung der Echtheit des Originals und die Vollständigkeit des Inhaltes. Das deutsche Steuergesetz sieht hierzu die qualifizierte Signatur der Rechnungen vor, die sicherstellen soll, dass Rechnungsdokumente während des Transports nicht verändert werden und Absender bzw. Unterzeichner eindeutig erkennbar bleiben.
Werde eine Rechnung nur elektronisch aber eben ohne eine solche qualifizierte Signatur versandt, so sei der Empfänger nicht berechtigt, die ausgewiesene Vorsteuer abzuziehen, warnte Ulbrich vor der fatalen Folge im B2B-Geschäft. Zudem seien die Archivierungsanforderungen gemäß der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen zu beachten. Die elektronische Rechnung müsse also im Originalzustand elektronisch aufbewahrt werden.
Auf die Frage, ob sich angesichts dieser Einstiegshürden eine virtuelle Rechnungsstellung überhaupt lohne, führte Ulbrich aus, dass Musterkalkulationen leicht zeigen könnten, dass etwa bei 2.000 Rechnungen im Monat die Projektkosten bei 25 Cent pro Rechnung lägen, mithin schon deutlich unter den Portokosten für einen Brief aus Papier. Allein nur aus Sicht einer solchen Portoersparnis könnte also die Amortisation in 30 Monaten erreicht werden. Bei 20.000 Rechnungen im Monat beliefen sich die Kosten nur noch auf rund fünf Cent pro Rechnung – damit sei die Amortisation allein aus der Portoersparnis bereits nach 3,6 Monaten erreichbar. Das reale Einsparpotential liege aber noch viel höher, wenn man auch die Kosten für die Teilprozesse Druck, Kuvertieren und Versand der Papierrechnungen mit einbeziehe.
Die Net at Work GmbH habe einen Lösungsvorschlag für ein integriertes System zum elektronischen Rechnungsversand im Angebot – das E-Mail-Gateway „enQsig“ biete alle nötigen Funktionen und Schnittstellen für eine integrierte Lösung.

© Net at Work Netzwerksysteme GmbH

Architektur einer Rechnungssignaturlösung mit E-Mail-Gateway „enQsig“

Rechnungen würden dabei entweder automatisiert oder angestoßen von Benutzern im ERP-System erzeugt und per E-Mail versandt. „enQsig“ sei als E-Mail-Gateway zwischen dem Mailserver des Lieferanten und dem Internet installiert und transportiere so jede ausgehende E-Mail. Rechnungs-E-Mails würden auf Basis eines Regelwerkes erkannt, z.B. an einer definierten Absenderadresse wie z.B. „rechnung [at] lieferant [dot] de“. Bei erkannten Rechnungs-E-Mails erhielten die angehängten Rechnungen von „enQsig“ eine qualifizierte elektronische Signatur. Dazu komme die Lösung „digiSeal server“ der secrypt GmbH zum Einsatz, eine bei der Bundesnetzagentur als sogenannte „Signaturanwendungskomponente“ registrierte Softwarelösung, welche die rechtlichen Standards erfülle. „enQsig“ verfüge über eine offene Schnittstelle zu Archivsystemen und könne damit E-Mail, Rechnungen und Signaturen direkt übergeben, so dass der Datenstand beim Verlassen des System dokumentiert werde. Dieses System könne auch eingehende E-Mails analysieren, automatisiert Rechnungen validieren und an ein Archivsystem übergeben.

Weitere Informationen zum Thema:

Net at Work – Systemhaus
Über uns

[datensicherheit.de, 28.09.2010] Auf einer Gemeinschaftsveranstaltung des IT-Sicherheitsverbandes TeleTrusT Deutschland e.V. und seines Partnerverbandes VOI am 24. September 2010 in Berlin wurde vor rund 130 interessierten Experten aus Wirtschaft, Verwaltung und Forschung die Situation der Elektronischen Signatur in Deutschland erörtert:
Juristen, Informatiker, Unternehmensvertreter und Mathematiker erläuterten Anwendungsmöglichkeiten – beispielsweise im E-Mail-Verkehr, bei Rechnungsstellung oder beim Einsatz von „SmartCards“. Zentrale Themen der Vorträge und Wortmeldungen waren Rechtsnatur, Vertrauenswürdigkeit, Beweiswert, technischer Ablauf, Standardisierung und Praxistauglichkeit des elektronischen Signierens.
TeleTrusT wertet die Veranstaltung als großen Erfolg – die vielfältige Resonanz aber auch als Zeichen für nach wie vor bestehenden erheblichen Aufklärungsbedarf. So laute die Summe der Schlussfolgerungen aus der Fachdiskussion lautet, dass die Elektronische Signatur in Deutschland noch nicht den Stellenwert habe, der ihr den innewohnenden Möglichkeiten nach zukommen könnte. In jedem Fall müsse diese Technologie sicher und einfach handhabbar gestaltet werden, um eine breite öffentliche Akzeptanz zu erreichen.

Weitere Informationen zum Thema:

VOI, 26.07.2010
VOI und TeleTrusT informieren zur Elektronischen Signatur

TeleTrusT, 27.10.2009
TeleTrusT und VOI kooperieren – Gemeinschaftsveranstaltung zu „Elektronischer Signatur“ geplant