[datensicherheit.de, 27.02.2025] Künstliche Intelligenz (KI) revolutioniere nicht nur Geschäftsprozesse, sondern bringe auch neue, hochkomplexe Sicherheitsrisiken mit sich, erläutert Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme. Ein aktuelles Beispiel sei „DeepSeek-R1“, ein KI-Modell, welches demnach mit sogenanntem Chain-of-Thought (CoT) Reasoning arbeitet. „Diese Methode soll die Nachvollziehbarkeit von KI-Entscheidungen verbessern, indem sie Denkschritte explizit offenlegt.“ Doch genau hierin liege die Schwachstelle: „Unsere aktuelle Analyse zeigt, dass Angreifer diese Transparenz für gezielte Prompt-Attacken missbrauchen können.“

Foto: Trend Micro

Richard Werner: KI-Technologien nutzende Unternehmen müssen diese proaktiv absichern – bevor Cyber-Kriminelle tätig werden

Unternehmen mit GenKI müssen auch neue Angriffsmethoden infolge KI-spezifischer Architekturen bedenken

Sie könnten durch gezielt formulierte Anfragen System-Prompts offenlegen, Sicherheitsmechanismen umgehen oder sich unberechtigten Zugriff auf sensible Daten verschaffen. Besonders besorgniserregend sei:

„In unseren Tests war der Erfolg solcher Angriffe in den Kategorien sensitive Datenexfiltration und unsichere Ausgabeerzeugung besonders hoch.“

Dies zeige, dass Unternehmen, welche Generative KI einsetzen, nicht nur klassische Cyber-Gefahren bedenken müssten, sondern auch neue Angriffsmethoden, die sich durch KI-spezifische Architekturen ergäben.

KI nicht nur Waffe gegen Cyber-Angriffe, sondern kann auch selbst Angriffsfläche werden

Bedeutung für Unternehmen lt. Trend Micro:

KI-Modelle müssen sicherheitsorientiert entwickelt werden!
Transparenz sei wichtig, dürfe aber keine Einladung für Angreifer sein.

Regelmäßiges Red-Teaming ist unverzichtbar!
Unternehmen sollten KI-Systeme kontinuierlich auf Schwachstellen testen – ähnlich wie bei klassischen IT-Security-Audits.

Prompt-Härtung als neue Disziplin!
Sicherheitsmechanismen, welche KI-Modelle gegen manipulative Eingaben absichern, müssten Standard werden.

Werner gibt abschließend zu bedenken: „Die Forschung zu ,DeepSeek-R1‘ zeigt, dass KI nicht nur eine Waffe gegen Cyber-Angriffe ist, sondern auch selbst zur Angriffsfläche wird.“ Unternehmen, die KI-Technologien nutzen, müssten sich zur Absicherung proaktiv um diese kümmern – bevor Cyber-Kriminelle es tun.

Weitere Informationen zum Thema:

Trend Micro
Exploiting DeepSeek-R1: Breaking Down Chain of Thought Security

datensicherheit.de, 29.01.2025
GenAI und Menschlicher Faktor wichtigste Datenschutzaspekte / Ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 06.02.2025] Richard Werner, „Security Advisor“ bei Trend Micro, führt in seiner aktuellen Stellungnahme aus, wie sich Innovationsdruck und Fachkräftemangel auf die IT-Sicherheit auswirken und geht dabei besonders auf die Rolle des „Chief Information Security Officer“ (CISO) ein: „Aus der Sicht des CISOs ist ihre Art, Security zu betreiben richtig und hat sich bewährt. Indem sie Verbote aussprechen, wollen sie die jungen Kollegen schützen. Schließlich kennen CISOs die Gefahren eines Cyber-Angriffs und wissen, wie leicht etwas passieren kann. Aus der Perspektive der jungen Generation an IT- und IT-Security-Mitarbeitern wirkt dieser restriktive Security-Ansatz dagegen verknöchert und wie ein Bremsklotz. Die ,Digital Natives’ bringen neue Ideen mit, möchten sich beweisen und ihre Vorstellungen kreativ umsetzen. Für Regeln, die sie dabei behindern, haben sie wenig Verständnis.“

Foto: Trend Micro

Richard Werner zur IT-Sicherheit in Betrieben: Für Unternehmen ist es wichtig, den Generationenkonflikt anzuerkennen und proaktiv anzugehen!

Fortentwicklung niemals zu Lasten der IT-Sicherheit!

Unternehmen seien auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Dies dürfe jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, brauche es einen IT-Security-Ansatz, „der Platz für Fortschritt schafft, anstatt ihn zu behindern“. Die IT-Security müsse sich erneuern, um den Generationenkonflikt zwischen den alteingesessenen IT-Security-Mitarbeitern und der disruptiven Experimentierbereitschaft der jungen Nachwuchskräfte zu überwinden.

Die CISO-Rolle stehe vor neuen Herausforderungen: „Mussten sie sich früher Gehör verschaffen und Entscheidungsträger und Mitarbeiter davon überzeugen, wie wichtig IT-Sicherheit für ein Unternehmen ist, geht es heute darum, Leistung zu erbringen und Informationsbestände, Technologien, Systeme und Netzwerke angemessen vor immer komplexeren Angriffsmethoden zu schützen.“

Rein technischer Blickwinkel auf IT-Sicherheit könnte zu ineffektiven Investitionen führen

Zwar hätten viele Unternehmensvorstände mittlerweile die Bedeutung der IT-Sicherheit erkannt, was sich auch in angepassten Budgettöpfen widerspiegele. „Damit CEO und CISO jedoch auf Augenhöhe kommunizieren können, müssen Letztere moderne Business-Anforderungen verstehen und die Kosten für IT-Sicherheit dahingehend optimieren.“

Ein rein technischer Blickwinkel auf die IT-Sicherheit könne zu ineffektiven Investitionen führen und auf das Unverständnis der weniger technisch versierten Führungsebene eines Unternehmens stoßen. Besonders wichtig sei es für CISOs daher, kontinuierliche Risikobewertungen durchzuführen – immer auf Grundlage der für das Unternehmen wichtigsten Daten, Anwendungen und Prozesse.

Alt vs. Jung – zwei Welten kollidieren auch auf dem Gebiet der IT-Sicherheit

„Wenn junge, dynamische und kreative Menschen in eine Arbeitsumgebung mit sehr vielen Regeln einsteigen, sind Konflikte vorprogrammiert“, so Werner. Er führt hierzu weiter aus: „Der CISO, der über viele Jahre hinweg die Security im Unternehmen aufgebaut und erfolgreich geleitet hat, steht plötzlich vor ähnlichen Herausforderungen wie ein Vater, der mit seinem Teenager-Sohn aneinandergerät.“

Dieser Konflikt sei so alt wie die Menschheit selbst: „Natürlich wollen wir alle nur das Beste für unsere Kinder. Verbote, die wir als Eltern aussprechen, haben in der Regel einen Sinn. Wir wollen unsere Kinder schützen und vor Gefahren bewahren. Schließlich wissen wir aus Erfahrung, was alles passieren kann. Nur allzu gut können wir uns noch an unsere eigene Jugend erinnern, in der wir uns ausprobiert haben, Grenzen verschieben wollten und Risiken eingegangen sind – nicht immer mit positivem Ausgang.“

Aus der Perspektive der jungen Generation wirken restriktive IT-Security-Ansätze verknöchert und wie ein Bremsklotz

„Damals fanden wir die Verbote unserer Eltern unsinnig und haben uns bewusst darüber hinweggesetzt. Heute stehen wir auf der anderen Seite, stellen Regeln auf und wollen an ihnen festhalten. Wir sind davon überzeugt, dass wir es besser wissen als unsere Kinder.“ Werner wirft hierzu die Fragen auf: „Aber ist das wirklich so? Oder brauchen auch wir nicht hin und wieder jemanden, der uns in Frage stellt?“

Ganz ähnlich gehe es heute vielen CISOs. Aus ihrer Sicht sei ihre Art, IT-Security zu betreiben richtig und habe sich bewährt. „Indem sie Verbote aussprechen, wollen sie die jungen Kollegen schützen. Schließlich kennen CISOs die Gefahren eines Cyber-Angriffs und wissen, wie leicht etwas passieren kann.“ Aus der Perspektive der jungen Generation an IT- und IT-Security-Mitarbeitern wirke dieser restriktive IT-Security-Ansatz dagegen „verknöchert und wie ein Bremsklotz“.

Wenn Regeln auch auf dem Gebiet der IT-Sicherheit nicht nachvollziehbar sind, besteht der natürliche Impuls diese zu umgehen

Die „Digital Natives“ brächten neue Ideen mit, möchten sich beweisen und ihre Vorstellungen kreativ umsetzen. „Für Regeln, die sie dabei behindern, haben sie wenig Verständnis. ,Warum soll ich nicht die ,Cloud’ nutzen, wenn ich diese Technologie doch brauche, um meine Idee zu verwirklichen?‘, fragen sich zum Beispiel die Jungen.“ Der ältere CISO indes sehe in erster Linie die Probleme, welche die „Cloud“ mit sich bringe. „Nicht so schnell!“, sage er deshalb zu seinen Mitarbeitern.

„Aber jeder, der Kinder hat, weiß, dass der erhobene Zeigefinger in der Praxis nur selten funktioniert.“ Insbesondere, wenn Regeln für einen selbst nicht nachvollziehbar sind, habe man als junger Mensch den natürlichen Impuls, diese zu umgehen. „Mir passiert schon nichts“, denke sich dieser. Natürlich könne das auch einmal „nach hinten losgehen“. Andererseits sei es manchmal nötig und erwünscht, Grenzen einzureißen, denn nur so würden Veränderung und Fortschritt möglich.

Moderne IT-Security-Technologie kann helfen, Gräben zu überwinden und ganzheitliche Ansätze zu etablieren

Grundsätzlich sei der Generationenkonflikt zwischen der älteren und jüngeren Generation ein normales Phänomen, welches auch im Unternehmensumfeld auftrete. Um die Erfahrung der Älteren mit den neuen Denkansätzen der Jungen zu kombinieren, sei allerdings ein gezielter Austausch notwendig. Unternehmen bräuchten sowohl die Erfahrung als auch die Innovationskraft, um auf dem Markt erfolgreich zu sein.

Moderne IT-Security-Technologie könne dabei helfen, Gräben zu überwinden und ganzheitliche IT-Sicherheit zu etablieren, welche eben nicht als „Verhinderer“, sondern als „Business Enabler“ agiere. Werners abschließende Empfehlung: „Für Unternehmen ist es wichtig, den Generationenkonflikt anzuerkennen und proaktiv anzugehen, um eine harmonische Zusammenarbeit und eine erfolgreiche IT-Sicherheitsstrategie zu gewährleisten!“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.10.2023
Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz / Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz / Die Tipps reichen von KI-gesteuerter Bedrohungsabwehr in Echtzeit bis hin zu verständlicher Kommunikation mit der Vorstandsebene

[datensicherheit.de, 29.11.2024] Laut einer Meldung von „heise online“ hat die EU wegen der bisher nicht erfolgten Umsetzung der NIS-2-Richtlinie sowie der Richtlinie über die Resilienz Kritischer Infrastrukturen ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet. „Angesichts der Verzögerungen im Gesetzgebungsprozess in den vergangenen Jahren kommt das nicht wirklich überraschend – ist doch inzwischen mit einer NIS-2-Umsetzung nicht vor Herbst nächsten Jahres zu rechnen“, kommentiert Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro. Er führt hierzu aus: „Unabhängig von den nun einsetzenden – und ebenfalls erwartbaren – parteipolitischen Fingerzeigen halte ich die aktuelle Lage für äußerst bedenklich, sendet sie noch verheerende Signale nach innen wie nach außen.“

Foto: Trend Micro

Dirk Arendt fordert Planungssicherheit, um Investitionen in NIS-2-Konformität zielgerichtet einzusetzen

Die NIS-2-Richtlinie wird große Teile der deutschen Wirtschaft betreffen

Die deutsche Wirtschaft befinde sich in einer tiefen Krise. Um diese erfolgreich zu überwinden, bedürfe es einer umfassenden Transformation und zukunftsfähiger Aufstellung. „Digitale Technologien sind dafür der Schlüssel zum Erfolg!“, betont Arendt und gibt zu bedenken: „Gleichzeitig stehen gerade diese Technologien immer stärker im Fokus von Cyber-Angriffen, die eine wachsende Bedrohung für die gesamte deutsche Wirtschaft darstellen.“ Die bitkom-Studie zum Wirtschaftsschutz spreche eine klare Sprache:

„Die Zahl der digitalen Angriffe auf Unternehmen hierzulande stieg auch 2024 erneut an. 74 Prozent von ihnen waren von Datendiebstahl betroffen.“ Der jährliche Gesamtschaden durch Cybercrime betrage 178,6 Milliarden Euro. Die Unternehmen hätten das erkannt und seien bereit, verstärkt in Cyber-Sicherheit zu investieren, so die Studie weiter. Doch benötigten sie Planungssicherheit, um diese Investitionen zielgerichtet einzusetzen – immerhin werde die NIS-2-Richtlinie große Teile der deutschen Wirtschaft betreffen (voraussichtlich etwa 30.000 Unternehmen).

NIS-2 zeigt auch, wie wichtig Cyber-Sicherheit für unser gesamtes Gemeinwesen ist

Der Umfang dieser Regulierung zeige auch, wie wichtig Cyber-Sicherheit nicht mehr „nur“ für die Wirtschaft, sondern für unser gesamtes Gemeinwesen sei. Cyber-Angriffe auf sogenannte Kritische Infrastrukturen (bzw. „wichtige“ und „besonders wichtige“ Einrichtungen) seien geeignet, massive Störungen zu verursachen und das Vertrauen in die Leistungsfähigkeit von Staat und Infrastruktur zu schädigen. Dabei handele es sich nicht nur um abstrakte Überlegungen:

„Deutschland und Europa stehen im Fokus hybrider Bedrohungen. Die Zeitenwende konsequent zu denken, bedeutet deshalb auch, eine effektivere Cyber-Sicherheitsarchitektur für Staat, Wirtschaft und Bevölkerung zu errichten.“ So sei es zu begrüßen, dass die EU gerade diesen Bereich verstärkt reguliere, um das Schutzniveau in der gesamten Union zu erhöhen. In diesen Zeiten müsse Europa wieder enger zusammenstehen – auch im Cyberspace.

Appell an zukünftige Bundesregierung, NIS-2 endlich den gebotenen Stellenwert einzuräumen

„Vermutlich ist es für die Verabschiedung der genannten Gesetze in dieser Legislaturperiode schon zu spät“, moniert Arendt. Bleibe nur der Appell an die zukünftige Bundesregierung, dem Thema endlich den Stellenwert einzuräumen, den es verdiene:

„Mit genügend Ressourcen, einer starken und effizienten Sicherheitsarchitektur und unter Berücksichtigung der vielen berechtigten Einwände und Vorschläge von Experten aus Wirtschaft und Verbänden.“ Laut Arendt ist es an der Zeit, den Weg zur „Cyber-Nation“ in einem starken Europa konsequent zu gehen.

Weitere Informationen zum Thema:

heise online, Stefan Krempl, 28.11.2024
EU leitet Vertragsverletzungsverfahren gegen Deutschland wegen NIS2 ein / Die EU-Kommission hat Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie und andere Kritis-Vorgaben nicht umgesetzt hat

bitkom
Studie / Wirtschaftsschutz 2024

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 13.11.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 12. November 2024 den Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ vorgestellt. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro kommentiert: „Die Zahl der Cyber-Vorfälle in Deutschland hat erneut zugenommen. Dabei steht mit den kleinen und mittleren Unternehmen mithin das Rückgrat der deutschen Wirtschaft besonders im Fokus der Angreifer, ebenso wie IT-Dienstleister und Kommunen. Auch die Gefährdungslage für Kritische Infrastrukturen bleibt ‚angespannt‘. Angesichts einer instabilen politischen Weltlage wird deutlich, dass wir die Cyber-Sicherheit hierzulande dringend weiter ausbauen müssen.“

Foto: Trend Micro

Dirk Arendt fordert, auch die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen

Unternehmen benötigen auch in Fragen der Cyber-Sicherheit Planungssicherheit

Indes müsse bei allen innenpolitischen Unwägbarkeiten der Weg hin zur „Cybernation“ weiter konsequent verfolgt werden. Unternehmen brauchten Planungssicherheit – auch in der Cyber-Sicherheit. Deshalb sei die Politik gefordert, das deutsche NIS-2-Umsetzungsgesetz schnellstmöglich auf den Weg zu bringen.

Arendt führt hierzu aus: „Indem sie die Zahl der regulierten Unternehmen deutlich erhöht, auch kleinere Einrichtungen in den Blick nimmt und die Cyber-Risiken entlang von Lieferketten in den Fokus rückt, hat die NIS-2-Richtlinie das Potenzial, wichtige Impulse zur Erhöhung der Cyber-Resilienz, gerade in besonders von Angriffen betroffenen Bereichen, zu geben.“

Höchste Zeit, auch auf kommunaler Ebene die Cyber-Resilienz zu erhöhen!

Darüber hinaus sei es unabdingbar, die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen, „das ihrer Kritikalität für das Funktionieren des Gemeinwesens entspricht“. Könnten Kommunen ihre Aufgaben nicht erfüllen, habe dies unmittelbare Auswirkungen auf den Alltag der Bürger:

„Stehen sie längere Zeit still, kann dies das Vertrauen der Bevölkerung in die Leistungsfähigkeit des Staates empfindlich einschränken“, warnt Arendt. Gerade in solch unsicheren Zeiten könnten wir uns das nicht erlauben – es sei deshalb höchste Zeit, auch die kommunale Ebene entsprechend zu regulieren.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2024

datensicherheit.de, 31.10.2023
Hacker-Angriff auf Ämter und Kommunen in NRW unterstreicht Bedeutung der Cyber-Resilienz / Thomas Lo Coco nimmt Stellung zur Cyber-Attacke vom 30. Oktober 2023

datensicherheit.de, 20.10.2023
Weg in die Basis-Absicherung: BSI-Checklisten für Kommunen / BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

datensicherheit.de, 02.12.2021
DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen / IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

[datensicherheit.de, 24.09.2024] Eine aktuelle Studie zur Lage der Cybersecurity von Trend Micro deckt nach eigenen Angaben „Lücken in der Resilienz und mangelnde Verantwortlichkeit der Geschäftsführung vieler Unternehmen“ auf. Die am 24. September 2024 veröffentlichte Studie zeigt demnach, dass es Unternehmen an Ressourcen mangelt und auch an der Bereitschaft der Geschäftsleitung, ihre digitale Angriffsoberfläche zu erfassen und zu minimieren. Sapio Research habe im Februar 2024 im Auftrag von Trend Micro 2.600 IT-Security-Verantwortliche aus Unternehmen verschiedener Branchen und Größen in Europa, Nord- und Lateinamerika, dem Nahen Osten, sowie dem Asien-Pazifik-Raum befragt, davon 100 aus Deutschland.

Foto: Trend Micro

Laut Richard Werner gilt es, die gesamte Angriffsoberfläche im Blick zu haben, die Entwicklung der Cyber-Risiken kontinuierlich zu überwachen und automatisiert zu mitigieren

Die Hälfte der deutschen Befragten moniert, dass Geschäftsführungen Cybersecurity nicht als ihre Verantwortung erkennen

Für die vorliegende Studie seien IT-Sicherheitsentscheider weltweit befragt worden – sie zeige einige weit verbreitete Schwachstellen in der Cyber-Resilienz deutscher Unternehmen:

• Nur 33 Prozent der befragten deutschen Unternehmen (36% weltweit) verfügten über ausreichend Personal, um eine „24*7*365-Cybersecurity“ zu gewährleisten.
• Nur 36 Prozent (35% weltweit) betrieben Angriffsflächen-Management, um ihr Cyber-Risiko zu erfassen.
• Nur 28 Prozent (34% weltweit) stützten sich auf bewährte Regelungen oder Rahmenwerke wie z.B. das „NIST Cybersecurity Framework“.

„Warum schafft es die Mehrheit der Unternehmen nicht, solche grundlegenden Cyber-Sicherheitsmaßnahmen zu implementieren?“ Das fehlende Gefühl von Zuständigkeit an der Spitze der Unternehmen könnte einen Erklärungsansatz liefern: Die Hälfte (50%) der deutschen Befragten (48% weltweit) habe angegeben, dass ihre Geschäftsführungen Cybersecurity nicht als ihre Verantwortung betrachteten. Nur elf Prozent widersprächen dieser Aussage ganz und gar (17% weltweit).

Führungskräfte sehen Cybersecurity noch zu oft in alleiniger Verantwortung der IT-Abteilung

„Auf die Frage, wer die Verantwortung für die Minderung von Geschäftsrisiken trägt oder tragen sollte, scheint bei den Befragten Uneinigkeit zu herrschen und die Zuständigkeit vielfach nicht klar geregelt zu sein.“ Die Antworten fielen äußerst heterogen aus: Fast ein Drittel (32% in Deutschland und 31% weltweit) habe aber angegeben, dass Cybersecurity die alleinige Verantwortung der IT-Abteilung sei.

Unklare Vorgaben für die Cyber-Sicherheitsstrategie könnten auch der Grund dafür sein, dass sich mehr als die Hälfte (52%) der Befragten in Deutschland (und 54% weltweit) über eine inkonsistente Einstellung ihres Unternehmens gegenüber Cyber-Risiken beklagten.

Mehr als ein Drittel zweifelt an der Fähigkeit, Cyber-Risiken zu entdecken, zu bewerten und zu entschärfen

In vielen Unternehmen fehle jedoch die notwendige Führung, um diese Probleme anzugehen. Fast alle Befragten (95% in Deutschland und 96% weltweit) seien besorgt um die Angriffsoberfläche ihres Unternehmens. Dabei zweifele mehr als ein Drittel (38% in Deutschland, 36% weltweit) an ihrer Fähigkeit, Cyber-Risiken zu entdecken, zu bewerten und zu entschärfen.

„Fehlt es in der Cyber-Sicherheit an langfristigen Strategien, führt das oft zu rein reaktiven, inkohärenten und letztlich auch teuren Entscheidungen“, kommentiert Richard Werner, „Security Advisor“ bei Trend Micro. Er führt abschließend aus : „Unternehmen brauchen CISOs, die den Zusammenhang zwischen Cyber- und Geschäftsrisiken klar kommunizieren, um ihre Geschäftsführungen einzubinden.“ Sie müssten die gesamte Angriffsoberfläche im Blick haben, die Entwicklung dieser Risiken kontinuierlich überwachen und automatisiert mitigieren, um die Cyber-Resilienz insgesamt zu verbessern.

Weitere Informationen zum Thema:

TREND MICRO
A global study / Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity

[datensicherheit.de, 14.09.2024] Trend Micro nimmt in einem aktuellen Blog-Beitrag Stellung zur Hacker-Gruppe „Earth Preta“ (auch „Mustang Panda“): Diese setzt demnach in einer neuen Angriffswelle auf „selbstverbreitende Malware, die sich über Wechseldatenträger ausbreitet, sowie auf Spear-Phishing-Kampagnen“. Ziel dieser Angriffe seien derzeit hauptsächlich Regierungsbehörden in der Asien-Pazifik-Region (APAC). Die Gruppe nutze Wechseldatenträger als Infektionsvektor und gehe Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen. Trend Micro hat nach eigenen Angaben kürzlich über eine Zunahme der Aktivitäten chinesischer Bedrohungsakteure berichtet, zu denen auch „Earth Preta“ gehöre.

Foto: Trend Micro

Richard Werner erinnert an „Stuxxnet“ – diese Malware sollte beispielsweise über USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren, wurde allerdings auch außerhalb Irans nachgewiesen…

Cyber-Würmer greifen im Prinzip alles Verwundbare an

Richard Werner, „Security Advisor“ bei bei Trend Micro, kommentiert die Aktivitäten der Hacker-Gruppe „Earth Preta“: „Würmer – in diesem Fall die eingesetzte selbstverbreitende Software – sind ein wenig aus der Mode gekommen. Eine Infektion über sie ist typischerweise sehr schnell und damit im Verhältnis zu anderen Angriffsmethoden deutlich wahrnehmbarer.“

Sogenannte Würmer seien auch nicht selektiv, sondern griffen im Prinzip alles Verwundbare an. „Das heißt, dass beispielsweise ein staatlicher Angreifer das Risiko hat, ebenfalls Schaden an der eigenen Infrastruktur anzurichten“, erläutert Werner.

Um dieses Risiko zu mindern, verwendeten die Täter hierzu die Propagierungsmethode „Wechseldatenträger“ (z.B. USB-Sticks) – dies verkompliziere die Sache und berge andere Risiken.

Cyber-Infektion per Wechseldatenträger birgt Risiko der Verwendung auch außerhalb des gewünschten Einsatzbereiches

Zum Einen müsse der Angreifer es schaffen, „dass die Schadroutine auch im gewünschten Ziel ankommt – was nur funktioniert, wenn das Opfer auch diese Art Datenträger verwendet“. Zum Anderen steige die Wahrscheinlichkeit mit jeder weiteren – durch den Angreifer nicht mehr kontrollierbaren – Kompromittierung, „dass er entdeckt wird und seine komplette Operation auffliegt“. Auch bei Wechseldatenträgerinfektionen bestehe die Möglichkeit, dass sie außerhalb des gewünschten Einsatzbereiches verwendet würden.

Die Schadvariante „Stuxxnet“ sollte beispielsweise über die USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren. Werner ruft in Erinnerung: „Sie wurde allerdings auch außerhalb des Irans nachgewiesen, da dieselben USB-Sticks von den nicht eingeweihten Servicetechnikern international eingesetzt wurden.“

Eine unmittelbare Bedrohung für Deutschland sieht Werner nur insofern, als dass es ein großes Interesse an sensiblen Daten gebe und der „Datenhunger der chinesischen Regierung“ bemerkenswert sei. Werners Fazit: „Dass wir auch in Deutschland offen über beispielsweise Vorratsdatenspeicherung diskutieren, zeigt mir, dass in demokratischen Rechtsstaaten Verwendungszwecke relevant wären.“

Weitere Informationen zum Thema:

TREND MICRO, Lenart Bermejo & Sunny Lu & Ted Lee, 09.09.2024
Malware / Earth Preta Evolves its Attacks with New Malware and Strategies

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

• „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
• 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
• 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
• 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
• 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

[datensicherheit.de, 26.02.2024] Nach eigenen Angaben hat Trend Micro globale Strafverfolgungspartner unter der Führung der britischen National Crime Agency (NCA) bei der Zerschlagung der Ransomware-Gruppe „LockBit“ unterstützt. „Langfristige Pläne der Gruppe konnten so verhindert werden.“ Demnach haben verdeckte Ermittlungen von Trend Micro die Veröffentlichung der neuesten Malware-Produktlinie der Gruppe vereitelt – „noch bevor die Akteure selbst ihre Tests abschließen konnten“. Kunden von Trend Micro seien automatisch geschützt.

LockBit-Verbündete nun erhöhtem Risiko der Strafverfolgung ausgesetzt

Ransomware stellt offensichtlich für Unternehmen eine der schwerwiegendsten Bedrohungen im Digitalen Raum dar: „Angriffe zielen auf alle Branchen und gefährden unter anderem Schulen, Krankenhäuser, Regierungen, Unternehmen sowie wichtige nationale Infrastrukturen.“ Lukrativ seien diese Angriffe auch für einige kleinere Cybercrime-Gruppen: „Im vergangenen Jahr zahlten Opfer über eine Milliarde US-Dollar an die Akteure und ihre Partner – ein Rekordwert. Dabei war ,LockBit’ für etwa 25 Prozent aller Ransomware-Leaks im Jahr 2023 verantwortlich und verursachte in den letzten vier Jahren bei Tausenden von Opfern Verluste in Milliardenhöhe.“

Hinter den Kulissen sei es bereits zu der Beschlagnahmung von „Krypto-Währungen“, Verhaftungen, Anklagen, der Verhängung von Sanktionen sowie der eingehenden technischen Unterstützung der Opfer gekommen. Die gemeinsam durchgeführte Operation habe darüber hinaus die Übernahme der „LockBit“-Leak-Seite, die Offenlegung persönlicher Identitäten und Informationen zu Gruppenmitgliedern sowie Details über ihre früheren kriminellen Aktivitäten umfasst. Mithilfe dieser Maßnahmen werde diese Gruppe in der Cybercrime-Community diskreditiert und damit als Untergrundunternehmen für Kriminelle unrentabel.

Auch wenn „LockBit“ zweifellos die größte und einflussreichste Ransomware-Operation weltweit gewesen sei, mache die nun erfolgte „Disruption“ deutlich, dass kriminelle Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten – und dass sie sich durch Kooperationen einem erhöhten Risiko der Strafverfolgung aussetzten.

Verbrechergruppe LockBit wohl kaum komplett unschädlich, aber deutlich geschwächt

Die Maßnahmen der Operation gegen „LockBit“ führten laut Trend Micro zu folgenden Ergebnissen:

• Die Neutralisierung eines potenziell weit verbreiteten Ransomware-Stammes sowie die Verhinderung zukünftiger Angriffe.
• „Eine Strafverfolgungsoperation, die hoffentlich das Ende von ,LockBit’ bedeutet und die einen neuen Maßstab für die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Partnern setzt.“
• Die Eliminierung der Bedrohung durch eine neue Ransomware-Generation Dank der Analyse von Trend Micro.

„Wir bei Trend Micro sind stolz, dass wir mit unserer Bedrohungsforschung zu den Ermittlungen der globalen Strafverfolgungsbehörden beitragen konnten und Teil einer gemeinsamen Mission sind, um die Welt sicherer zu machen“, kommentiert Robert McArdle, Director „Forward Looking Threat Research Team“ bei Trend Micro, welcher sich demnach im regelmäßigen Austausch mit dem Federal Bureau of Investigation (FBI) und der National Crime Agency (NCA) befindet.

McArdles Fazit: „Letzte Woche hat Trend Micro weltweit Microsoft-Nutzer vor einer kritischen Schwachstelle geschützt; diese Woche konnten wir dabei unterstützen, die weltweit wichtigste Gruppe an Bedrohungsakteuren ihrer Führungsposition zu berauben. Nun sind Insider nicht so naiv anzunehmen, dass die Verbrechergruppe damit ausgelöscht sein wird. Einer Sache sind wir uns jedoch sicher: Kein vernünftiger Krimineller möchte noch einmal mit dieser Gruppe in Verbindung gebracht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

NCA, 20.02.2024
National Crime Agency
International investigation disrupts the world’s most harmful cyber crime group

TREND MICRO, 15.02.2024
Millionen User betroffen: Trend Micro entdeckt aktiv ausgenutzte Microsoft-Schwachstelle / Trend Micros Zero Day Initiative entdeckt Bug, der es Angreifern ermöglicht, kritische Schutzmaßnahmen zu umgehen

[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.

Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung

In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.

Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.

LockBit 4.0 als mögliche Bedrohung am Horizont

„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“

Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“

Grundlegende LockBit-Neuerungen laut Trend Micro:

• „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
• Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
• „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
• Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
• Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
• Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
• Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist

Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.

Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.

Weitere Informationen zum Thema:

TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version

FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung