[datensicherheit.de, 11.02.2021] Thorsten Krüger, „VP Sales DACH“, „CEE“ und „CIS“ bei Thales, geht in seiner aktuellen Stellungnahme auf den sich abzeichnenden IT-Security-Trend 2021 ein – „Supply Chain“-Angriffe. Es gebe anlässlich des „SolarWinds“/„Sunburst“-Vorfalls eine ganze Menge „Lessons Learned“ für die IT-Security-Community.

Foto: Thales

Thorsten Krüger: Starke Verschlüsselung und Zugriffskontrolle sowie Sensibilisierung der Mitarbeiter von besonderer Bedeutung

SolarWinds / Sunburst und EMA: Vorfälle lassen Zunahme der Angriffe auf Supply Chain befürchten

Krüger führt aus: „Es gibt anlässlich des ,SolarWinds‘/,Sunburst‘-Vorfalls eine ganze Menge ,Lessons Learned‘ für die Security-Community – nicht nur, dass in Deutschland und außerhalb zahlreiche Behörden betroffen sind. Ohne in die bislang bekannten Details gehen zu wollen, lässt sich auch mit Blick auf die bekanntgewordenen Angriffe auf die mit der Zertifizierung des Impfstoffs des Herstellers Pfizer/Biontech beauftragte EU-Behörde EMA feststellen, dass ,Supply Chain‘-Angriffe zunehmen werden.“

Dass wie in diesem Fall sogar die gestohlenen Daten veröffentlicht worden seien, sei einer neuen Qualität der Ransomware-Angriffe geschuldet, bei der zum einen die Daten verschlüsselt und kopiert, zum anderen aber als sogenannte „Double Extortion“ ins Netz gestellt würden. Angreifer hätten es letztendlich auf Daten abgesehen und verfolgten den Weg der Daten von einem Unternehmen zum anderen, um sich das schwächste und am einfachsten zu knackende Glied in der Kette herauszusuchen. Diese Strategie komme immer dann zum Tragen, „wenn professionelle Angreifer hinter den Attacken stehen, die viel Zeit und Aufwand in die Erkundung ihres Ziels gesteckt haben“. Dies mache sie so gefährlich und den Schutz vor ihnen so aufwändig.

Supply Chain: Angriffe über Kompromittierung eines Softwarecodes oder einer Anwendung

Krüger erläutert kurz einen „Supply Chain“-Angriff: „Klassisch meint der Begriff die Kompromittierung eines Softwarecodes oder aber einer Anwendung, die von einem Drittanbieter entwickelt wird und dann in anderer weitverbreiteter Software oder Systemen eingesetzt wird.“ Beispiele gebe es seit „Target 2014“ genug – das Phänomen sei daher bekannt, aber das Ausmaß und die Raffinesse hinter den neuerlichen Angriffen lasse aufhorchen und für die Zukunft nichts Gutes erahnen.

Angesicht des Ausmaßes der Vernetzung der heutigen Wirtschaft und der Abhängigkeit von funktionierenden Lieferketten, lasse sich der Begriff „Supply Chain“ nämlich noch weiter fassen, wenn man ihn als „Value Chain“- oder noch weiter als „Third Party“-Attacke verstehe. Angreifer sehen sich demnach die gesamte Lieferkette an, „sie haben Zeit, warten ab, suchen nach Schwachstellen, beispielsweise in Buchhaltungssoftware, die bei einigen Firmen im Einsatz ist und auch bei den Zulieferern oder Zweigstellen im Ausland“.

Schutz der Supply Chain: Komplette Lieferketten muss sicher sein

Das Einfallstor müsse nicht groß sein, bleibe es jedoch lange unbemerkt, wie bei den vielen bekanntgewordenen Fällen, könnten sich die Angreifer in Seelenruhe ausbreiten und sich nach und nach Zugriff auf die für sie interessanten Datensätze verschaffen. Die Bedrohung sei inzwischen so groß, dass in einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant mehr als 80 Prozent der Befragten bestätigt hätten, bereits Opfer eines solchen indirekten Angriffs gewesen zu sein.

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieter-Firmen sollten Unternehmen deshalb mehr denn je darauf achten, wie ihre Lieferketten, „und zwar alle, von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst“, in Sachen IT-Sicherheit aufgestellt sind. Krüger betont: „Hier ist neben einer starken Verschlüsselung und Zugriffskontrolle die Sensibilisierung der Mitarbeiter von besonderer Bedeutung. Nur wer seine Lieferketten im Blick hat, kann sich vor Cyber-Attacken schützen, auch wenn es keinen vollumfänglichen Schutz geben kann.“

Weitere Informationen zum Thema:

Deutschlandfunk, Peter Welchering, 09.01.2021
IT-SicherheitSolarwind-Attacke betrifft auch deutsche Ministerien und Firmen

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS / Beispiel EMA zeigt, dass Cyber-Angriffe auf Pharmaunternehmen in aktueller Situation keine Überraschung sind

BlueVoyant
DOWNLOAD REPORT: Global Insights: Supply Chain Cyber Risk / Managing Cyber Risk Across the Extended Vendor Ecosystem

[datensicherheit.de, 16.02.2019] Thorsten Krüger, „Director Sales IDP DACH & CEE“ bei Gemalto, warnt davor, den Online-Handel mit gehackten Daten zu unterschätzen: Aktuell mache ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten würden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheine die Lage nicht besser zu werden. Besonders kritisch sei, dass gerade beim Thema Schutz persönlicher Informationen bekannte „Best Practices“ nicht umgesetzt würden. Nachfolgend gibt Krüger drei Schlussfolgerungen zur Kenntnis.

1. Schutz von Accounts allein durch Passwörter nicht mehr zeitgemäß

In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planten die Kriminellen mit ein, so Krüger: „Die Hintermänner bewerben im Beispiel ,Credential-Stuffing‘-Attacken.“ Hierbei werden demnach E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter zunächst nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit der Nutzer ließen sich so weitere Accounts übernehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spreche sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: „Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet.“ Ein zweiter Faktor sei traditionell eine „Smart Card“, könne aber auch per „PushTAN“ über das Mobiltelefon erfolgen. Entsprechende Angebote gebe es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. „Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie“, berichtet Krüger.

2. Unzureichende Anwendung starker Verschlüsselung

Beim genannten Vorfall seien die Passwörter teilweise im Klartext gespeichert gewesen. Einige Informationen seien mit dem schon seit Jahren als unsicher gelten Algorithmus „MD5“ verschlüsselt gewesen. Sicherheitsexperten sowie das BSI seien von den Vorteilen der Kryptographie überzeugt, warnten aber auch vor dem Versagen der Schutzwirkung, „falls diese unsauber implementiert wird“.
Krüger rät: „Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen.“ Besonders das Schlüsselmaterial müsse verwaltet und geschützt werden, „denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys“.

3. Unternehmen fokussieren zu einseitig auf Perimeter-Sicherheit

„Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden“, so Krüger. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzverletzungen sei kein Zufall. Viele Firmen seien immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warne das BSI bereits seit 2016 und spreche von „Assume the Breach“.
Genau weil sich durch „IoT“, „Cloud Computing“ und „BYOD“ immer neue Angriffsvektoren auftäten, müssten IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. „Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen“, fordert Krüger.

Foto: Gemalto

Fazit: noch viel Handlungsbedarf

Es fehle nicht an „Awareness“ und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gebe es immer wieder – und spätestens seit der Anwendbarkeit der DSGVO stünden Organisationen unter Zugzwang.
Es sei daher umso überraschender, dass bei den grundlegenden Mechanismen „so nachlässig gehandelt wird“. Das Beispiel verdeutlicht laut Krüger, „dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht“.

Weitere Informationen zum Thema:

The Register, 11.02.2019
Security / 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts

datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

datensicherheit.de, 10.07.2018
Gemalto: Unternehmen sammeln mehr Daten als sie verarbeiten können

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

datensicherheit.de, 02.10.2017
Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu

datensicherheit.de, 29.06.2017
Neue Ransomware-Angriffe: Unternehmen sollten ihren eigenen Fortschritt bewerten

[datensicherheit.de, 19.04.2017] In einer aktuellen Stellungnahme hat sich Thorsten Krüger, „Director Sales IDP DACH“ & CEE bei Gemalto, zu den aktuellen IT-Sicherheitslücken im Bundestagsnetz geäußert:

Eindringlinge könnten jederzeit Daten entwenden und kompromittieren

Aktuell weise das IT-Unternehmen Secunet in einem Bericht, der im Auftrag der Bundestagsverwaltung angefertigt worden sei, auf mehrere Sicherheitslücken in der IT-Infrastruktur des Deutschen Bundestags hin.
Laut einem Beitrag der „TAGESSCHAU“ werde in diesem Bericht ausgeführt, dass USB-Anschlüsse im Bundestag zurzeit nicht beschränkt seien. Ähnliches gelte für offen zugängliche Netzwerkanschlüsse. Angreifer könnten – mit entsprechender Technik ausgestattet – im Bundestagsgebäude den Netzwerkverkehr mitschneiden und auslesen.
Das bedeutet, so Krüger, Eindringlinge könnten jederzeit Daten aus dem Netzwerk entwenden und kompromittieren.

Foto: Gemalto

Thorsten Krüger rät, auf das „richtige Schlüsselmanagement“ zu setzen

Effektives Krypto-Schlüsselmanagement gefragt

Eine Ursache sei diesem Bericht nach, dass die IT-Verwaltung auch zwei Jahre nach dem Hacker-Angriff schwach aufgestellt sei. Die zuständige Abteilung habe zu wenig Personal und keine ausreichenden Kompetenzen.
Krüger dazu: „Auch wenn es an den Ressourcen mangelt: Organisationen sollten immer damit rechnen, dass sie attackiert werden. Die Frage ist nur wann und in welchem Ausmaß.“ Dabei sei die Identifizierung und Verschlüsselung aller sensiblen Daten innerhalb einer Organisation nur der erste Schritt.
Wichtiger sei das richtige Schlüsselmanagement – effiziente Verschlüsselung sei nur so sicher wie die verwendeten Schlüssel, betont Krüger und führt weiter aus: „Mittels einer Krypto-Management-Plattform werden diese Schlüssel erzeugt, gespeichert und sicher verwaltet. Denn nur wenn alle kryptographischen Schlüssel vor Eindringlingen sicher bleiben, sind auch verschlüsselte Daten im Falle einer Kompromittierung für Cyber-Kriminelle nutzlos.“

Weitere Informationen zum Thema:

tagesschau.de, 12.04.2017
Risikoanalyse Sicherheitslücken im Bundestagsnetz

datensicherheit.de, 19.02.2017
IT-Sicherheit als Grundlage für Erfolg und Fortschritt

[datensicherheit.de, 19.02.2017] Thorsten Krüger, „Director Sales IDP DACH“ und CEE bei Gemalto führt in seinem aktuellen Kommentar aus, dass nach dem dritten Angriff im Dezember 2016 auch Nutzerkonten ohne entwendete Passwörter bedroht seien. Bei vorherigen Angriffen im Jahr 2013 und 2014 seien insgesamt bereits über eine Milliarde Konten betroffen gewesen. Aktuell gebe es noch keine Daten zu der Anzahl der Betroffenen.

Angriff mit „gefälschten Cookies“

Bei dem Angriff seien „gefälschte Cookies“ zum Einsatz gekommen. Dabei handele es sich um digitale Schlüssel, die Zugangsdaten speicherten, um eigentlich die Nutzerfreundlichkeit zu erhöhen – Passwörter müssten bei einem erneuten Einloggen nicht mehr erneut eingegeben werden.
Bei den geleakten Informationen handele es sich um E-Mail-Adressen, Geburtsdaten und Sicherheitsfragen. In einem schriftlichen Statement habe Yahoo geäußert, dass Forensiker momentan die betroffenen Accounts untersuchten. Man werde die Nutzer verständigen, falls diese Opfer des Angriffs werden könnten.

Über 1.5 Milliarden E-Mail-Konten betroffen

Insgesamt könnten über 1,5 Milliarden E-Mail-Konten betroffen sein und erneut gebe es Zweifel an der Sicherheit von Yahoo. Das US-amerikanische Kommunikationsunternehmen Verizion äußere weiterhin Interesse am Kauf von Yahoo, werde aber wahrscheinlich erneut um den Kaufpreis verhandeln. Laut Bloomberg sei der Preis nach den ersten Datenabflüssen von 4,8 Milliarden um 250 Millionen reduziert worden.

Richtige Schutzmechanismen als Basis jeder Unternehmensaktivität

Organisationen sollten IT-Sicherheit nicht länger als ein Randthema verstehen, betont Krüger, sondern der Thematik oberste Priorität zuweisen.
Es geht nicht nur um die Abwehr von Cyber-Attacken, sondern um Vertrauen und „Business Enablement“. Infolge der zunehmenden Digitalisierung und Vernetzung von Geschäftsprozessen und deutlich sensibler gewordenen Konsumenten seien die richtigen Schutzmechanismen zur Basis jeder Unternehmensaktivität geworden. Das mangelnde Vertrauen in die Sicherheit sei daher der entscheidende Faktor beim Wertverfall von Yahoo.

Foto: Gemalto

Thorsten Krüger: Sicherheit und Performance keine Gegensätze!

Mangelnde Absicherung von Zugangsdaten unverantwortlich

Krüger: „Unternehmen stehen unglaubliche Vorteile durch Digitale Integration offen, diese müssen aber von entsprechenden Schutzmechanismen begleitet werden.“
Die passende Sicherheitstechnologie sei verfügbar, werde aber häufig nicht nachhaltig implementiert. Die mangelnde Absicherung von Zugangsdaten wie bei Yahoo sei unverantwortlich, da genau hierbei besonders sensible Informationen verarbeitet würden.
Deshalb reagierten Kunden und Geschäftspartner bei Sicherheitsverletzungen in solchen Bereichen empfindlich. Dabei seien Sicherheit und Performance keine Gegensätze, im Gegenteil, so Krüger: „Richtige IT-Sicherheit bildet die Grundlage für Erfolg und Fortschritt.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.10.2016
Umfrage auf der it-sa 2016: IT-Sicherheitsexperten nutzen vernetzte Geräte trotz Sicherheitsbedenken