KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht

[datensicherheit.de, 15.07.2023] KnowBe4 hat seinen globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht – eine Kernaussage ist demnach, „dass HR-bezogene E-Mail-Themen als Phishing-Strategie genutzt werden und 50 Prozent der Top-E-Mail-Themen ausmachen“.

Foto: KnowBe4

Stu Sjouwerman rät dringend, Mitarbeiter über die häufigsten Cyber-Angriffe und Bedrohungen aufzuklären

Phishing-E-Mails laut KnowBe4 nach wie vor eine der gängigsten Methoden für böswillige Angriffe

KnowBe4 hat die aktuellen Erkenntnisse aus seinem Top-Clicked-Phishing-Report für das zweite Quartal 2023 bekanntgegeben. Die Ergebnisse umfassten die wichtigsten E-Mail-Themen, „die in Phishing-Tests angeklickt wurden“, und spiegelten die Verwendung von geschäftsbezogenen HR-Nachrichten wider, welche das Interesse der Mitarbeiter wecken und sie potenziell beeinflussen könnten.

Phishing-E-Mails seien nach wie vor eine der gängigsten Methoden, um böswillige Angriffe auf Unternehmen auf der ganzen Welt zu verüben. Cyber-Kriminelle verfeinerten ihre Strategien ständig, um mit den Markttrends Schritt zu halten und Endbenutzer und Unternehmen zu überlisten, indem sie realistische und glaubwürdige Phishing-E-Mails erstellten.

Sie nutzten Emotionen aus und zielten darauf ab, Verzweiflung, Verwirrung, Panik oder sogar Aufregung zu verursachen, um jemanden dazu zu verleiten, auf einen Phishing-Link oder einen bösartigen Anhang zu klicken. Tatsächlich habe der „KnowBe4 Phishing by Industry Benchmarking Report 2023“ ergeben, „dass fast jeder dritte Benutzer auf einen verdächtigen Link klickt oder einer betrügerischen Aufforderung nachkommt“.

Phishing-E-Mails: Von KnowBe4 aufgedeckter Trend besonders besorgniserregend

Die Phishing-Taktiken änderten sich mit dem zunehmenden Trend, „dass Cyber-Kriminelle E-Mail-Themen verwenden, die von der Personalabteilung stammen und sich auf Änderungen der Kleiderordnung, Schulungsbenachrichtigungen, Urlaubsaktualisierungen und mehr beziehen“. Diese seien effektiv, weil sie eine Person dazu brächten, zu reagieren, „bevor sie logisch über die Legitimität der E-Mail nachdenken, und haben das Potenzial, das Privatleben und den beruflichen Alltag eines Mitarbeiters zu beeinträchtigen“.

Phishing-E-Mails mit Urlaubsbezug seien auch in diesem Quartal eingesetzt worden, wobei vier der fünf häufigsten Urlaubs-E-Mails von der Personalabteilung zu stammen schienen. „Anreize, die sich auf nationale Feiertage, Feiertage und Terminänderungen beziehen, wurden als Köder für ahnungslose Endbenutzer verwendet.“ Darüber hinaus spiegele der Bericht den anhaltenden Trend wider, IT- und Online-Service-Benachrichtigungen sowie steuerbezogene E-Mail-Themen zu verwenden.

„Die Bedrohung durch Phishing-E-Mails ist so hoch wie eh und je, da Cyber-Kriminelle ihre Nachrichten immer raffinierter und scheinbar glaubwürdiger gestalten“, erläutert Stu Sjouwerman, „CEO“ von KnowBe4. Er führt aus: „Der im Q2-Phishing-Bericht aufgedeckte Trend bei Phishing-E-Mails ist besonders besorgniserregend, da 50 Prozent dieser E-Mails von der Personalabteilung zu kommen scheinen – einer vertrauenswürdigen und wichtigen Abteilung vieler, wenn nicht aller Unternehmen.“ Diese getarnten E-Mails nutzten das Vertrauen der Mitarbeiter aus und regten in der Regel zu Handlungen an, welche für das gesamte Unternehmen katastrophale Folgen haben könnten. Sjouwerman abschließend: „Um Phishing und bösartige E-Mails zu bekämpfen, ist es wichtig, die Mitarbeiter über die häufigsten Cyber-Angriffe und Bedrohungen aufzuklären.“ Eine gut ausgebildete Belegschaft sei die beste Verteidigung für ein Unternehmen und unerlässlich für die Förderung und Aufrechterhaltung einer starken Sicherheitskultur.

Weitere Informationen zum Thema:

KnowBe4
TOP CLICKED PHISHING TESTS

KnowBe4
2023 Phishing Benchmarking Analysis Center

[datensicherheit.de, 24.06.2021] Auch wenn die „Corona-Pandemie“ weiterhin noch den Alltag bestimmen mag, haben doch viele Menschen in Deutschland Hoffnung auf einen kommenden Sommerurlaub. Diesen Umstand nutzten Cyber-Kriminelle aus, um Unternehmen und Privatpersonen mit Phishing- und Domain-Spoofing-Angriffen ins Visier zu nehmen, warnt Webroot in einer aktuellen Meldung.

Beliebte Köder-Begriffe für Phishing-Angriffe

Webroot hat nach eigenen Angaben herausgefunden, „dass es zwischen dem 1. Januar 2021 und dem 29. März 2021 die Anzahl bösartiger Domains, die das Wort ,Travel‘ erwähnen, global um 93 Prozent zugenommen hat“.
Weitere Erkenntnisse laut Webroot:

• Eine 79-prozentige Zunahme der Verwendung des Wortes ,Passport‘ in bösartigen ,COVID‘-bezogenen Domains im März 2021 im Vergleich zu den vorangegangenen 30 Tagen.
• Eine 233-prozentige Zunahme der Verwendung des Wortes ,Passport‘ in bösartigen ,COVID‘-bezogenen Domains im März 2021 im Vergleich zu April 2020.
• Ein Anstieg von 3.900 Prozent bei der Verwendung des Wortes ,Passport‘ in bösartigen ,COVID‘-bezogenen Domains im März 2021 im Vergleich zu Juni 2020.
• Ein Anstieg um 169 Prozent bei bösartigen Domains, die gängige Suchbegriffe für Reisen/Urlaub verwenden, wie z.B. ,weekend break‘, ,cheap‘, ,last minute‘ zwischen Februar 2021 und März 2021.
• Ein Rückgang von 71 Prozent bei bösartigen Domains, die unter Verwendung der Wörter ,Testing‘ oder ,Testkits‘ zwischen dem 1. Januar 2021 und dem 29. März 2021 erstellt wurden.

Phishing-Methoden folgen im hohen Maße aktuellen Trends

„Die Länge und Dauer der ,Pandemie‘ hat Hackern die Möglichkeit gegeben, ihre Domains zu verfeinern und zu gestalten. Die Wörter, die in den Namen dieser bösartigen Domains verwendet werden, spiegeln in hohem Maße aktuelle Trends wider“, erläutert Nick Emanuel, „Senior Director of Product“ bei Webroot. Schlüsselereignisse wie weltweit eingeführte Reiseverbote hätten einen direkten Einfluss darauf, „wie Hacker Ressourcen erzeugen, um Menschen zu täuschen“.
Emanuel berichtet: „Zum Beispiel sahen wir direkt nach der Einführung von Reiseverboten, dass das Wort ,Passport‘ in bösartigen Domains meist im Zusammenhang mit der Bereitstellung von Daten über die gesperrten Länder verwendet wurde und nicht im Zusammenhang mit der Vorbereitung oder Ermöglichung von Reisen.“

Cyber-Kriminelle verfolgen Nachrichten und nutzen dazu passende Aufmerksamkeit erregende Domains für Phishing-Kampagnen

In ähnlicher Weise korreliere der Rückgang der Begrifflichkeiten „Testing“ und „Testkit“ mit der Einführung von Selbsttests, was die Möglichkeiten für Betrüger zu diesem speziellen Thema eingeschränkt habe. Beide Beispiele zeigten indes, wie Cyber-Kriminelle Nachrichten sorgfältig verfolgten und Domains erstellten, die einen höheren Prozentsatz an Treffern haben würden.
Emanuel rät abschließend: „Um sich vor diesen Bedrohungen zu schützen, sollte jeder von uns weiterhin wachsam sein und alle Links, die in E-Mails enthalten sind genau prüfen, bevor sie angeklickt werden.“ Dies sollte auch durch Cybersecurity-Technologien wie E-Mail-Filterung, Virenschutz und starke Passwort-Richtlinien unterstützt werden.

Weitere Informationen zum Thema:

WEBROOT auf YouTube
Webroot Brightcloud® Real-time Anti-phishing Service

Seit Anfang April 2021 betrügerische E-Mails mit Angeboten an Corona-Speicheltests

[datensicherheit.de, 25.04.2021] Seit Anfang April 2021 beobachten Experten von Bitdefender betrügerische E-Mails mit Angeboten an „Corona“-Speicheltests – mehr als 300.000 E-Mails seien im Rahmen dieser Kampagne versendet worden.

Foto: Bitdefender

Bogdan Botezatu: Angebliche Lieferung auf Rechnung täuscht Adressaten

Günstiges, handelsübliches und somit unverdächtiges Angebot für Corona-Speicheltest

Bogdan Botezatu, Leiter der „Bedrohungsanalyse“ bei Bitdefender, berichtet: „Anders als bei komplexeren Spam-Angriffen verlassen sich die Kriminellen in diesem Fall lediglich auf die Angst und Unsicherheit vieler Bürger zu Zeiten der anhaltenden ,Corona‘-Krise, um Geld und persönliche Daten zu erbeuten.“ Im Detail erhielten Adressaten per E-Mail ein günstiges – aber auch handelsübliches, also diesbezüglich unverdächtiges – Angebot für „Corona“-Speicheltest. Dabei seien verschiedene Absenderadressen und Betreffzeilen genutzt worden.
Diese E-Mails mit dem Bild einer Verpackung und einer Dokumentation des Testverfahrens sähen auf den ersten Blick seriös aus und trügen zudem das Logo des Bundesinstituts für Arzneimittel und Medizinprodukte. Für Vertrauen sorge die angebotene „Lieferung auf Rechnung“. „Viele verlassen sich dann darauf, als erstes die Ware zu erhalten“, so Botezatu.

Alarmzeichen: Fehlender Webshop für Corona-Speicheltest

Dabei verweisen die Absender laut Botezatu auf keinen Online-Shop oder auf einen weiterführenden Link. „Die Opfer, die sich auf das Scheinangebot einlassen, werden in einer Antwortmail wahrscheinlich zur Zahlung aufgefordert. Und das obwohl zunächst eine Lieferung auf Rechnung angeboten wurde. Bei Vorabkasse verlieren sie das Geld und geben eventuell auch persönliche Daten weiter.“
Vor allem der fehlende Link auf einen Webshop sei ein wichtiges Indiz für ein betrügerisches Angebot. Seriöse Angebote würden direkt auf einen Online-Shop verlinken – „ein Grundsatz, den man beim Online-Einkauf immer beherzigen sollte!“ Die Preise, das Logo des Bundesinstituts für Arzneimittel und Medizinprodukte sowie die Dokumentation des Testverfahrens sollten den Absender nicht in falscher Sicherheit wiegen, warnt Botezatu: „Solche Bilder lassen sich leicht kopieren und zusammenstellen.“

Corona-Notbremse: Effizientes Timing Cyber-Krimineller

Offensichtlich sei der psychologische Zeitpunkt für die Kriminellen günstig. Viele Menschen seien möglicherweise im Kontext der „Corona-Notbremse“ empfänglich für ein Angebot dieser Art und achteten deswegen nicht so sehr auf wichtige Details. Andere überlegten vielleicht auch, eine Sammelbestellung vorzunehmen, um Tests weiterzuverkaufen.
„Diese betrügerischen Mail zeigen erneut, wie unerbittlich Cyber-Kriminelle die aktuelle Nachfrage nach Schnelltests ausnutzen wollen“, betont Botezatu. Dabei gerieten zum einem gezielt professionelle Einkäufer in das Visier der Betrüger. Aber auch für den Normalverbraucher könnten die Angebote zu handelsüblichen Preisen verlockend genug sein. „Das Geld und persönliche Daten gehen aber höchstwahrscheinlich an die Betrüger.“

Weitere Informationen zum Thema:

datensicherheit.de, 15.12.2020
Im Wettkampf: Cybersecurity-Profis gegen APT-Unternehmer

[datensicherheit.de, 30.03.2017] Laut einer aktuellen Umfrage von Kroll Ontrack anlässlich des „World Backup Day 2017“ sind Daten trotz diverser Backup-Lösungen nicht sicher – etwa ein Drittel der befragten Kunden habe 2016 Daten verloren.

Etwa ein Drittel der Befragten erlitt einen Datenverlust

Die aufwändige Vollsicherung ihrer Daten sei für die meisten Unternehmen und Privatanwender heute Routine – so ein Ergebnis der aktuellen Kundenumfrage von Kroll Ontrack.
Die Datensicherung in der Cloud zu vollziehen, werde zudem immer beliebter. Im Vergleich zum Vorjahr hätten doppelt so viele Anwender (rund 33 Prozent) ihre Backups online durchgeführt. Auch die Sicherung per Tape stehe trotz digitaler Lösungen hoch im Kurs: Mehr als doppelt so viele Unternehmen und Privatanwender (17 Prozent) wie 2016 würden nach eigenen Angaben ihre Daten auf Band bannen – in Deutschland seien es sogar etwas mehr als 30 Prozent.
Dennoch habe ungefähr ein Drittel der 1.000 befragten Kunden aus Nordamerika, Europa und Australien einen Datenverlust verzeichnet.

Datenverlust trotz vorhandener Backup-Lösung

Auffällig dabei sei, dass nur 35 Prozent der Verlustopfer über kein (aktuelles) Backup verfügten. Folglich hätten die meisten Unternehmen trotz einer vorhandenen Backup-Lösung einen Datenverlust erlitten. Bei einem Viertel der Befragten habe das Backup zudem nicht richtig funktioniert.
Von den Nutzern mit einem Datenverlust, aber vorhandenem Backup hätten immerhin 67 Prozent angegeben, dass sie nahezu alle Daten hätten wiederherstellen können; weitere 13 Prozent immerhin bis zu drei Viertel der Daten. Bei zwölf Prozent sei das Backup korrumpiert gewesen. Knappe drei Prozent hätten nur geringe Datenmengen wiederherstellen können.

Alle Endgeräte in Backup-System einbinden!

Eine mögliche Erklärung für Datenverluste trotz Backup sei dessen System: Sind nicht alle Endgeräte darin eingebunden, könnten Daten auf diesem Weg verloren gehen. Um eine zuverlässige Sicherung zu gewährleisten, müssten auch mobile Datenträger wie Mobiltelefone oder Notebooks mit dem Sicherungsserver verbunden sein.
Unter denjenigen Anwendern ohne Sicherung glaubten nur rund sieben Prozent an die Sicherheit ihrer Daten ohne Backup. Rund 14 Prozent der weltweiten Teilnehmer sei nach eigenen Angaben die Recherche nach geeigneten Backup-Lösungen und deren kostspielige Verwaltung zu müßig.

24 Prozent testen niemals ihre Datensicherung

Weiterhin habe die Studie ergeben, dass drei Viertel aller Backups unverschlüsselt durchgeführt würden. Verglichen mit Großbritannien, in dem knapp die Hälfte der Umfrageteilnehmer ihre Sicherung verschlüssele, schneide Deutschland mit rund 27 Prozent in dieser Disziplin eher schlecht ab.
Der überwiegende Teil der Nutzer (44 Prozent) erstelle täglich ein Backup, in Deutschland kümmerten sich stattliche 71 Prozent täglich darum. Mehr als 18 Prozent der Teilnehmer sicherten ihre Daten einmal in der Woche, knappe 16 Prozent einmal im Monat. Jährlich führten nur rund vier Prozent ein Backup durch.
Von den befragten Anwendern testeten 24 Prozent ihre Backups mindestens einmal in der Woche, knapp 30 Prozent einmal im Monat und etwas weniger als 14 Prozent einmal im Jahr; 24 Prozent testeten nie.

Tipps für bestmögliche Backup-Ergebnisse:

• Im Zeitplan für die Datensicherung müssten alle Geräte und Medien abgedeckt sein.
• Die Funktion der Backups müsse gewährleistet sein und diese müssten zu den festgesetzten Zeiten laufen.
• Datensicherungssysteme müssten regelmäßig auf Fehler überprüft werden.
• Ebenso sollten Datensicherungen auf Vollständigkeit und Funktion getestet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2016
World Backup Day 2016: Backup als wichtige Säule der IT-Security-Strategie

datensicherheit.de, 06.05.2016
1. Quartal 2016 brachte weltweit 30 Prozent mehr Ransomware-Attacken

[datensicherheit.de, 21.03.2017] Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bietet nach einer aktuellen Mitteilung jetzt für kleine und mittlere Unternehmen (KMU) eine kommerzielle Lösung der „Volksverschlüsselung“ an. Diese könnten sich jetzt online für den Praxis-Test bewerben, bei dem sie die „Volksverschlüsselung“ ein Jahr lang kostenfrei benutzen könnten – unabhängig von der Anzahl der Nutzer. Die notwendige individuelle Registrierung der Ausgewählten erfolge durch Ausweiskontrolle im Internet-Video-Chat.

Vertrauliche Dokumente per E-Mail austauschen

„Nach dem Start der kostenlosen ,Volksverschlüsselung für Bürger‘ haben zahlreiche Freiberufler und kleine Unternehmen bei uns nachgefragt, weil sie eine unkomplizierte Art der E-Mail-Verschlüsselung für berufliche Zwecke brauchen“, erläutert Projektleiter Michael Herfert.
Dabei habe es sich zum Beispiel um Steuerberater, Ärzte oder Ingenieurbüros gehandelt, die mit ihren Klienten vertrauliche Dokumente per E-Mail austauschen möchten. Deshalb habe Herfert mit seinem Team eine Version der „Volksverschlüsselung“ für Freiberufler sowie kleine und mittlere Firmen entwickelt, die zum Beispiel auch erweiterte Backup-Funktionalitäten besitze.

Bis zum 24. März auf der „CeBIT 2017“

Selbständige oder Unternehmen, die am Praxis-Test teilnehmen möchten, könnten sich nun im Internet registrieren. Entsprechend Entwicklungsstand und Eignungskriterien würden dann die Teilnehmer für den kostenlosen Praxistest ausgewählt. Im Rahmen dieser Erprobungsphase möchte Fraunhofer SIT nach eigenen Angaben auch neue Registrierungsmöglichkeiten wie die Identitätsprüfung per Video-Chat erproben.
Die „Volksverschlüsselung“ wird laut SIT noch bis zum 24. März auf der „CeBIT 2017“ in Hannover präsentiert. Dort könnten sich Privatnutzer auch einen kostenlosen Registrierungscode abholen, der die sonst notwendige Identifizierung über das Internet ersetze – mit diesem lasse sich die „Volksverschlüsselung“ unmittelbar nutzen.

Weitere Informationen zum Thema:

Fraunhofer SIT – Volksverschlüsselung
Kontaktaufnahme bezüglich einer kommerziellen Nutzung / Registrierung für Firmen

datensicherheit.de, 17.09.2014
Fraunhofer SIT: Neues Institutsgebäude eröffnet

datensicherheit.de, 08.09.2014
Fraunhofer SIT: Der Weg zur sicheren Industrie 4.0

datensicherheit.de, 16.04.2014
Fraunhofer SIT: Handlungsempfehlungen zur Verbesserung von Softwaresicherheit

[datensicherheit.de, 20.02.2016] Ein von KASPERSKY lab durchgeführter Test mit dem Titel „How I hacked my hospital“ hat nach eigenen Angaben aufgezeigt, dass Cybererpressung über Ransomware nicht der einzige wunde Punkt innerhalb der Krankenaus-IT ist. Auch Patientendaten und Geräte seien angreifbar.

Vielfältige Angriffsszenarien für Krankenhäuser

In den letzten Tagen wurden Schadensvorfälle an deutschen Krankenhäuser aufgrund von Angriffen mit Ransomware-Vorfällen publik. Laut Medienberichten hätten zeitweise Befunde per Telefon oder Fax anstatt in digitaler Form übermittelt werden müssen.
Cyberangriffs-Szenarien auf Krankenhäuser gehen allerdings über solche Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken könnten Patientendaten manipuliert oder entwendet werden. Bei den in Krankenhäusern verwendeten modernsten medizinischen, mit Computertechnologie ausgestatteten Geräten würden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt, erklärt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab. Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.

KASPERSKY-Experiment zeigt Bedeutung von „Shodan“

KASPERSKY lab hat laut Sergey Lozhkin in einem Experiment aufzeigen können, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar seien.
Über „Shodan“ — eine Suchmaschine für das Internet der Dinge (IoT) — sei der Sicherheitsforscher auf medizinische Geräte in einem Krankenhaus gestoßen, dessen Geschäftsführer mit Lozhkin befreundet sei. Lozhkin habe mit ihm beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich sei. Dieser Test habe unter strengsten Rahmenbedingungen stattgefunden. Patienten sowie deren sensible Daten seien hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt gewesen. Für den Test seien speziell Test-Daten geschaffen und im Netzwerk platziert worden; so sei sichergestellt gewesen, keine realen Patientendaten anzutasten.

WLAN als Schachstelle

Der erste Versuch sei noch gescheiterte – Lozhkin sei es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die
Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen getroffen hätten. Allerdings habe er sich dann über ein nicht sicher eingerichtetes lokales WLAN in die Infrastruktur des Krankenhauses Zugang verschafft. Indem er den Netzwerkschlüssel geknackt habe, sei er in der Lage gewesen, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle habe er zudem auf einen tomographischen Scanner zugreifen können.
Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können, so Lozhkin.

KASPERSKYs Sicherheitsempfehlungen für Krankenhäuser

Organisationen, die sensible Infrastruktursysteme unterhalten, sollten neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk laut KASPERSKY lab auf folgende Sicherheitsaspekte achten:

• Sensible Geräte und Systeme wie zum Beispiel medizintechnische Apparate müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
• Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
• Auf Sicherheits-Schwachstellen achten: Entwickler von „IoT“-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2016
Locky-Attacken: Vorsorgemaßnahmen gegen Cybererpressung

KASPERSKA lab DAILY, 11.02.2016
Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt

Kaspersky Lab auf YouTube, 09.02.2016
How I hacked my hospital

[datensicherheit.de, 11.01.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Computernutzern, ihre Rechner auf Befall mit der Schadsoftware „DNS-Changer“ zu überprüfen. Ab sofort ist eine solche Überprüfung mit Hilfe einer Website möglich, die gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt wird:
Entweder es erscheint dann der grün unterlegte Hinweis „Ihre DNS Konfiguration ist korrekt“ oder die rot unterlegte Warnung „ACHTUNG: Ihre DNS Konfiguration ist manipuliert“.
Internet-Kriminelle haben nach BSI-Angaben die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware „DNS-Changer“ manipuliert. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.
In Deutschland sollen nach Angaben der US-amerikanischen Bundespolizei FBI derzeit bis zu 33.000 Computer täglich betroffen sein. Mit Hilfe der Website „www.dns-ok.de“ können Internetnutzer ab sofort eigenständig prüfen, ob ihr System von dem Schadprogramm „DNS-Changer“ infiziert ist. Beim Aufruf dieser Internetadresse erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige. Ergänzt wird dieser Hinweis durch eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen sowie ggf. die Schadsoftware vom System entfernen können.
Verbreitet wurde die Schadsoftware durch das so genannte „DNS-Changer-Botnetz“, dessen Betreiber im November 2011 von der US-amerikanischen Bundespolizei FBI und europäischen Ermittlungsbehörden verhaftet wurden. Die von den Online-Kriminellen manipulierten DNS-Server wurden nach der Festnahme vom FBI durch korrekt arbeitende DNS-Server ersetzt. Diese Server sollen jedoch zum 8. März 2012 abgeschaltet werden. Bei betroffenen Rechnern ist dann eine Internetnutzung ohne die empfohlenen Änderungen der Einstellungen nicht mehr möglich, da die Nutzer wegen des nunmehr fehlenden Zugriffs auf das „Telefonbuch“ (DNS) im Internet mit ihrem Computer keine Webseiten mehr aufrufen können. Daher sollten Internetnutzer die Überprüfung und ggf. Reinigung ihres Rechners möglichst bald durchführen.
Die Überprüfung erfolgt ausschließlich über den Aufruf der Website „www.dns-ok.de“; dabei wird keine Software gestartet oder heruntergeladen. Zur Reinigung des Rechners können die Betroffenen beispielsweise die unter „www.botfrei.de“ bereitgestellten Programme wie den „DE-Cleaner“ nutzen.

[datensicherheit.de, 01.10.2011] Die Magdeburger AV-TEST GmbH ist nach eigenen Angaben eines der weltweit führenden, unabhängigen Institute für IT-Security, Antiviren-Forschung und IT-Sicherheitsanalysen. Es habe nun erstmalig Schutzlösungen auf ihre Eignung im Unternehmens-Einsatz getestet:
Sieben „Endpoint-Protection-Lösungen“ hätten ihre Leistung in den Kategorien Schutzwirkung, Reparaturleistung und Einfluß auf die Benutzbarkeit beweisen können und somit das Qualitätssiegel „AV-TEST Approved“ erhalten. AV-TEST sei damit die erste Prüfstelle, die sich dieses elementaren Themas in Form regelmäßiger umfangreicher Tests annehme.

Abbildung: AV-TEST GmbH, Magdeburg

Erstmals Prüfsiegel für Unternehmens-IT-Sicherheitslösungen vergeben.

Das Qualitätssiegel „AV-TEST Approved“ gebe Administratoren die Möglichkeit, auf einen Blick geeignete Produkte zum Schutz ihres Unternehmens zu finden, denn Unternehmen seien einer doppelten Gefahr ausgesetzt – externe Angriffe durch Cyber-Kriminelle sorgten für immense wirtschaftliche Verluste, laut der „KPMG e-Crime-Studie“ insbesondere durch die Folgen des Auskundschaftens von Firmeninterna wie Produktinformationen, Cash-Flow und Mitarbeiterdaten.
Interne Spionage geschehe oft unbewusst durch die eigenen Mitarbeiter und deren leichtsinnigen Umgang mit Informationen, durch die bewusste Manipulation von Mitarbeitern durch „Social Engineering“ sowie durch das Eindringen bösartiger Dateien über ungeprüfte externe Datenträger, wie z.B. USB-Sticks, in das Firmennetzwerk. Ist Schadprogrammen erst der Weg bereitet, könnten die Folgen schlimmstenfalls zur existenziellen Bedrohung werden – auch für mittelständische Unternehmen.

Geprüft wurden die Produkte:

• F-Secure Client Security 9.11,
• Kaspersky Endpoint Security 8.1,
• McAfee VirusScan Enterprise 8.8 (EPO 4.5.4),
• Microsoft Forefront Endpoint Protection 2010 (2.0),
• Sophos Endpoint Security and Control 9.7.3,
• Symantec Endpoint Protection 12.1 und
• Trend Micro Worry-Free Business Security 7.0.

Alle Resultate und detaillierten Testberichte sind kostenfrei online abrufbar.

AV-TEST verweist darauf, dass Unternehmens-Schutzlösungen im Gegensatz zu den Heimanwenderprodukten aufgrund der vielseitigen Einsatzkonstellationen, Anforderungen und Umgebungen nicht ohne Weiteres miteinander vergleichbar seien. Um eine möglichst realistische Testumgebung zu simulieren, seien alle im Testverfahren beteiligten Produkte mit den empfohlenen Einstellungen der jeweiligen Hersteller konfiguriert worden. Bei simultanen Testbedingungen hätten sich alle Testkandidaten gegen identische aktuelle Bedrohungen bewähren müssen.
Mit der Analyse von Firmenschutzlösungen leiste AV-TEST einen entscheidenden Beitrag zum Schutz sensibler Daten, so Dipl.-Ing. Maik Morgenstern, Technischer Leiter des AV-TEST Institutes. Denn die Komplexität von Unternehmens-Schutzlösungen stelle Administratoren täglich vor neue Herausforderungen. Das Qualitätssiegel „AV-TEST Approved“ unterstütze die Entscheider bei der Auswahl des für ihre Anforderungen optimalen Produktes.

Weitere Informationen zum Thema:

AV TEST
Detaillierte Testberichte

KPMG
e-Crime-Studie 2010 / Computerkriminalität in der deutschen Wirtschaft

[datensicherheit.de, 16.08.2011] Secunia hat am 16. August 2011 den Launch der neuen Beta-Version seiner preisgekrönten „Secunia Corporate Software Inspector“-Lösung  (CSI) bekanntgegeben. Mit Secunias CSI könnten Unternehmen Bedrohungen und Risiken durch Sicherheitslücken über alle Netzwerke hinweg beherrschen und kontrollieren:
„Secunia CSI 5.0“ umfasst auch eine Software-Kontrolle für „Apple Mac OS X“ – die steigende Anzahl an Mac-Computern in Firmennetzwerken habe zu einem erhöhten Sicherheitsbedarf bei diesen geführt. Die Sicherheits-Software müsse garantieren, dass alle Desktop-Systeme innerhalb eines Unternehmens auf dem neuesten Stand und kompatibel seien.
„Secunia CSI 5.0“ soll jetzt den gesamten Software-Lebenszyklus unterstützen und den Wert von „Microsoft WSUS“ steigern. Durch das „Secunia Package System“ (SPS) ermögliche „CSI 5.0“ ab sofort die Softwareimplementierung und das -management von Drittanbietern. Mit dem SPS werde jetzt voll umfassend eine Drittanbieter-Softwareverteilung und ein Patchmanagement ermöglicht – Neuinstallation, Deinstallation und Updateverteilung unter Verwendung von „Microsoft WSUS“ und dem „Secunia CSI 5.0. SPS“ unterstützten nicht nur sprachspezifische Patches, sondern auch „32/64 bit“.
Secunia setzt auf die Meinung der Anwender – deshalb hat das Unternehmen die neue Lösung für alle Interessenten und Kunden kostenlos zugänglich gemacht. Alle Beta-Tester werden um ein Feedback in Secunias Onlineforum gebeten.

Weitere Informationen zum Thema:

Secunia
Secunia Corporate Software Inspector (CSI) – 5.0 Public Beta / Request Access

[datensicherheit.de, 05.07.2011] Nach eigenen Angaben hat BullGuard, Spezialist für PC- und mobile Sicherheitslösungen für Endkunden, mit seiner Lösung „Internet Security 10“ das „Advanced+ Rating“ des unabhängigen Testlabors AV-Comparatives bei der Virenerkennung erreicht:
Die Testumgebung habe rund 403.000 Malware-Proben enthalten, die im Lauf der letzten sechs Monate in „freier Wildbahn“ aufgetreten seien. Im „On-Demand-Test“ habe die Virenerkennung von BullGuard 99,1 Prozent der Würmer, 98 Prozent der Backdoors und Bots, 97,6 Prozent der Trojaner sowie 91,1 Prozent anderer Malware und Viren erkannt – damit ergebe sich eine Gesamterkennungsrate von 97,4 Prozent. Bei dem zusätzlichen „False-Positive-Test“ seien im Untersuchungszeitraum nur drei Falschmeldungen aufgetreten.
Um eine möglichst gute Trefferquote bei der Erkennung von Malware zu erzielen, was die Voraussetzung für eine erfolgreiche Bekämpfung ist, kombinieren Hersteller von Antiviren-Software (AV) unterschiedliche Erkennungsmethoden. Dabei bildet die signaturbasierte Erkennung, in der die AV-Software die Malware an einem hinterlegten „Fingerabdruck“ erkennt, nach wie vor die wichtigste Säule der Abwehr und filtert Millionen von bereits bekannten Schadprogrammen aus. Flankiert wird sie von heuristischen Methoden, die den Code verdächtiger Programme auf für Malware typische Code-Abschnitte analysieren und so auch Malware entdecken, von der noch keine Signatur bekannt ist.
Die verhaltensbasierte Erkennung oder auch „Behavior-Based Detection“ hingegen verfolgt genau, was die installierten Programme machen. Wenn eine Anwendung verdächtig wird, indem sie unerlaubte Aktionen startet, wird sie von der AV-Software unter Quarantäne gestellt. Um bestmöglichen Schutz vor Malware zu garantieren, ist die richtige Mischung aus den drei Erkennungsmethoden gefragt. BullGuard setzt für seine „Internet Security 10“-Software auf eine Kombination aus einer bewährten signaturbasierten und einer ausgereiften verhaltensbasierten Erkennung – und erzielt damit laut AV-Comparatives sehr gute Ergebnisse. Die Architektur ihrer sorgfältig aufgebauten Sicherheitsumgebung basiere auf „gestaffelten Verteidigungslinien“, sogenannten „Layern“ aus verschiedenen Web-Scanmethoden, Verhaltensblockierung und traditionellen Signaturerkennungstools, so Claus Villumsen, CTO bei BullGuard. Dies sei das Geheimnis dieser guten Testergebnisse. Der einzelne Layer müsse dabei nicht 100 Prozent perfekt sein. Wenn ein Schadcode einen Layer durchdringe, werde er vom nächsten abgefangen. Dabei unterscheide sich BullGuards verhaltensbasierte Erkennung fundamental von traditioneller Virenerkennung, die auf Basis heuristischer, signaturbasierter und URL-Filter-Erkennung nur Mutationen von bereits bekannten Viren erkenne.
Ihre verhaltensbasierte Erkennung identifiziere Viren viel früher als diese traditionellen Methoden, weil sie auf das Verhalten der Malware schaue und Viren, die sich basierend auf Datei-, Registry-, Prozess- und Netzwerkereignissen abnorm verhielten, identifiziere und ausschalte.

Weitere Informationen zum Thema:

AV comparatives, February 2011
Single Product Test / On-demand Detection of Malicious Software including False-Alarm Test