Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

[datensicherheit.de, 13.11.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 12. November 2024 den Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ vorgestellt. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro kommentiert: „Die Zahl der Cyber-Vorfälle in Deutschland hat erneut zugenommen. Dabei steht mit den kleinen und mittleren Unternehmen mithin das Rückgrat der deutschen Wirtschaft besonders im Fokus der Angreifer, ebenso wie IT-Dienstleister und Kommunen. Auch die Gefährdungslage für Kritische Infrastrukturen bleibt ‚angespannt‘. Angesichts einer instabilen politischen Weltlage wird deutlich, dass wir die Cyber-Sicherheit hierzulande dringend weiter ausbauen müssen.“

Foto: Trend Micro

Dirk Arendt fordert, auch die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen

Unternehmen benötigen auch in Fragen der Cyber-Sicherheit Planungssicherheit

Indes müsse bei allen innenpolitischen Unwägbarkeiten der Weg hin zur „Cybernation“ weiter konsequent verfolgt werden. Unternehmen brauchten Planungssicherheit – auch in der Cyber-Sicherheit. Deshalb sei die Politik gefordert, das deutsche NIS-2-Umsetzungsgesetz schnellstmöglich auf den Weg zu bringen.

Arendt führt hierzu aus: „Indem sie die Zahl der regulierten Unternehmen deutlich erhöht, auch kleinere Einrichtungen in den Blick nimmt und die Cyber-Risiken entlang von Lieferketten in den Fokus rückt, hat die NIS-2-Richtlinie das Potenzial, wichtige Impulse zur Erhöhung der Cyber-Resilienz, gerade in besonders von Angriffen betroffenen Bereichen, zu geben.“

Höchste Zeit, auch auf kommunaler Ebene die Cyber-Resilienz zu erhöhen!

Darüber hinaus sei es unabdingbar, die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen, „das ihrer Kritikalität für das Funktionieren des Gemeinwesens entspricht“. Könnten Kommunen ihre Aufgaben nicht erfüllen, habe dies unmittelbare Auswirkungen auf den Alltag der Bürger:

„Stehen sie längere Zeit still, kann dies das Vertrauen der Bevölkerung in die Leistungsfähigkeit des Staates empfindlich einschränken“, warnt Arendt. Gerade in solch unsicheren Zeiten könnten wir uns das nicht erlauben – es sei deshalb höchste Zeit, auch die kommunale Ebene entsprechend zu regulieren.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2024

datensicherheit.de, 31.10.2023
Hacker-Angriff auf Ämter und Kommunen in NRW unterstreicht Bedeutung der Cyber-Resilienz / Thomas Lo Coco nimmt Stellung zur Cyber-Attacke vom 30. Oktober 2023

datensicherheit.de, 20.10.2023
Weg in die Basis-Absicherung: BSI-Checklisten für Kommunen / BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

datensicherheit.de, 02.12.2021
DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen / IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

Lücken in der Cyber-Resilienz und mangelnde Verantwortlichkeit der Geschäftsführung vieler Unternehmen

[datensicherheit.de, 24.09.2024] Eine aktuelle Studie zur Lage der Cybersecurity von Trend Micro deckt nach eigenen Angaben „Lücken in der Resilienz und mangelnde Verantwortlichkeit der Geschäftsführung vieler Unternehmen“ auf. Die am 24. September 2024 veröffentlichte Studie zeigt demnach, dass es Unternehmen an Ressourcen mangelt und auch an der Bereitschaft der Geschäftsleitung, ihre digitale Angriffsoberfläche zu erfassen und zu minimieren. Sapio Research habe im Februar 2024 im Auftrag von Trend Micro 2.600 IT-Security-Verantwortliche aus Unternehmen verschiedener Branchen und Größen in Europa, Nord- und Lateinamerika, dem Nahen Osten, sowie dem Asien-Pazifik-Raum befragt, davon 100 aus Deutschland.

Foto: Trend Micro

Laut Richard Werner gilt es, die gesamte Angriffsoberfläche im Blick zu haben, die Entwicklung der Cyber-Risiken kontinuierlich zu überwachen und automatisiert zu mitigieren

Die Hälfte der deutschen Befragten moniert, dass Geschäftsführungen Cybersecurity nicht als ihre Verantwortung erkennen

Für die vorliegende Studie seien IT-Sicherheitsentscheider weltweit befragt worden – sie zeige einige weit verbreitete Schwachstellen in der Cyber-Resilienz deutscher Unternehmen:

• Nur 33 Prozent der befragten deutschen Unternehmen (36% weltweit) verfügten über ausreichend Personal, um eine „24*7*365-Cybersecurity“ zu gewährleisten.
• Nur 36 Prozent (35% weltweit) betrieben Angriffsflächen-Management, um ihr Cyber-Risiko zu erfassen.
• Nur 28 Prozent (34% weltweit) stützten sich auf bewährte Regelungen oder Rahmenwerke wie z.B. das „NIST Cybersecurity Framework“.

„Warum schafft es die Mehrheit der Unternehmen nicht, solche grundlegenden Cyber-Sicherheitsmaßnahmen zu implementieren?“ Das fehlende Gefühl von Zuständigkeit an der Spitze der Unternehmen könnte einen Erklärungsansatz liefern: Die Hälfte (50%) der deutschen Befragten (48% weltweit) habe angegeben, dass ihre Geschäftsführungen Cybersecurity nicht als ihre Verantwortung betrachteten. Nur elf Prozent widersprächen dieser Aussage ganz und gar (17% weltweit).

Führungskräfte sehen Cybersecurity noch zu oft in alleiniger Verantwortung der IT-Abteilung

„Auf die Frage, wer die Verantwortung für die Minderung von Geschäftsrisiken trägt oder tragen sollte, scheint bei den Befragten Uneinigkeit zu herrschen und die Zuständigkeit vielfach nicht klar geregelt zu sein.“ Die Antworten fielen äußerst heterogen aus: Fast ein Drittel (32% in Deutschland und 31% weltweit) habe aber angegeben, dass Cybersecurity die alleinige Verantwortung der IT-Abteilung sei.

Unklare Vorgaben für die Cyber-Sicherheitsstrategie könnten auch der Grund dafür sein, dass sich mehr als die Hälfte (52%) der Befragten in Deutschland (und 54% weltweit) über eine inkonsistente Einstellung ihres Unternehmens gegenüber Cyber-Risiken beklagten.

Mehr als ein Drittel zweifelt an der Fähigkeit, Cyber-Risiken zu entdecken, zu bewerten und zu entschärfen

In vielen Unternehmen fehle jedoch die notwendige Führung, um diese Probleme anzugehen. Fast alle Befragten (95% in Deutschland und 96% weltweit) seien besorgt um die Angriffsoberfläche ihres Unternehmens. Dabei zweifele mehr als ein Drittel (38% in Deutschland, 36% weltweit) an ihrer Fähigkeit, Cyber-Risiken zu entdecken, zu bewerten und zu entschärfen.

„Fehlt es in der Cyber-Sicherheit an langfristigen Strategien, führt das oft zu rein reaktiven, inkohärenten und letztlich auch teuren Entscheidungen“, kommentiert Richard Werner, „Security Advisor“ bei Trend Micro. Er führt abschließend aus : „Unternehmen brauchen CISOs, die den Zusammenhang zwischen Cyber- und Geschäftsrisiken klar kommunizieren, um ihre Geschäftsführungen einzubinden.“ Sie müssten die gesamte Angriffsoberfläche im Blick haben, die Entwicklung dieser Risiken kontinuierlich überwachen und automatisiert mitigieren, um die Cyber-Resilienz insgesamt zu verbessern.

Weitere Informationen zum Thema:

TREND MICRO
A global study / Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity

Cyber-Angriffswellen mittels Wechseldatenträgern sowie Spear-Phishing-Kampagnen

[datensicherheit.de, 14.09.2024] Trend Micro nimmt in einem aktuellen Blog-Beitrag Stellung zur Hacker-Gruppe „Earth Preta“ (auch „Mustang Panda“): Diese setzt demnach in einer neuen Angriffswelle auf „selbstverbreitende Malware, die sich über Wechseldatenträger ausbreitet, sowie auf Spear-Phishing-Kampagnen“. Ziel dieser Angriffe seien derzeit hauptsächlich Regierungsbehörden in der Asien-Pazifik-Region (APAC). Die Gruppe nutze Wechseldatenträger als Infektionsvektor und gehe Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen. Trend Micro hat nach eigenen Angaben kürzlich über eine Zunahme der Aktivitäten chinesischer Bedrohungsakteure berichtet, zu denen auch „Earth Preta“ gehöre.

Foto: Trend Micro

Richard Werner erinnert an „Stuxxnet“ – diese Malware sollte beispielsweise über USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren, wurde allerdings auch außerhalb Irans nachgewiesen…

Cyber-Würmer greifen im Prinzip alles Verwundbare an

Richard Werner, „Security Advisor“ bei bei Trend Micro, kommentiert die Aktivitäten der Hacker-Gruppe „Earth Preta“: „Würmer – in diesem Fall die eingesetzte selbstverbreitende Software – sind ein wenig aus der Mode gekommen. Eine Infektion über sie ist typischerweise sehr schnell und damit im Verhältnis zu anderen Angriffsmethoden deutlich wahrnehmbarer.“

Sogenannte Würmer seien auch nicht selektiv, sondern griffen im Prinzip alles Verwundbare an. „Das heißt, dass beispielsweise ein staatlicher Angreifer das Risiko hat, ebenfalls Schaden an der eigenen Infrastruktur anzurichten“, erläutert Werner.

Um dieses Risiko zu mindern, verwendeten die Täter hierzu die Propagierungsmethode „Wechseldatenträger“ (z.B. USB-Sticks) – dies verkompliziere die Sache und berge andere Risiken.

Cyber-Infektion per Wechseldatenträger birgt Risiko der Verwendung auch außerhalb des gewünschten Einsatzbereiches

Zum Einen müsse der Angreifer es schaffen, „dass die Schadroutine auch im gewünschten Ziel ankommt – was nur funktioniert, wenn das Opfer auch diese Art Datenträger verwendet“. Zum Anderen steige die Wahrscheinlichkeit mit jeder weiteren – durch den Angreifer nicht mehr kontrollierbaren – Kompromittierung, „dass er entdeckt wird und seine komplette Operation auffliegt“. Auch bei Wechseldatenträgerinfektionen bestehe die Möglichkeit, dass sie außerhalb des gewünschten Einsatzbereiches verwendet würden.

Die Schadvariante „Stuxxnet“ sollte beispielsweise über die USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren. Werner ruft in Erinnerung: „Sie wurde allerdings auch außerhalb des Irans nachgewiesen, da dieselben USB-Sticks von den nicht eingeweihten Servicetechnikern international eingesetzt wurden.“

Eine unmittelbare Bedrohung für Deutschland sieht Werner nur insofern, als dass es ein großes Interesse an sensiblen Daten gebe und der „Datenhunger der chinesischen Regierung“ bemerkenswert sei. Werners Fazit: „Dass wir auch in Deutschland offen über beispielsweise Vorratsdatenspeicherung diskutieren, zeigt mir, dass in demokratischen Rechtsstaaten Verwendungszwecke relevant wären.“

Weitere Informationen zum Thema:

TREND MICRO, Lenart Bermejo & Sunny Lu & Ted Lee, 09.09.2024
Malware / Earth Preta Evolves its Attacks with New Malware and Strategies

Mehrheit der CISOs (Chief Information Security Officers) in Deutschland und weltweit fühlt sich von der obersten Führungsebene unter Druck gesetzt, die Cyber-Risiken herunterzuspielen

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

• „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
• 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
• 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
• 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
• 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

[datensicherheit.de, 26.02.2024] Nach eigenen Angaben hat Trend Micro globale Strafverfolgungspartner unter der Führung der britischen National Crime Agency (NCA) bei der Zerschlagung der Ransomware-Gruppe „LockBit“ unterstützt. „Langfristige Pläne der Gruppe konnten so verhindert werden.“ Demnach haben verdeckte Ermittlungen von Trend Micro die Veröffentlichung der neuesten Malware-Produktlinie der Gruppe vereitelt – „noch bevor die Akteure selbst ihre Tests abschließen konnten“. Kunden von Trend Micro seien automatisch geschützt.

LockBit-Verbündete nun erhöhtem Risiko der Strafverfolgung ausgesetzt

Ransomware stellt offensichtlich für Unternehmen eine der schwerwiegendsten Bedrohungen im Digitalen Raum dar: „Angriffe zielen auf alle Branchen und gefährden unter anderem Schulen, Krankenhäuser, Regierungen, Unternehmen sowie wichtige nationale Infrastrukturen.“ Lukrativ seien diese Angriffe auch für einige kleinere Cybercrime-Gruppen: „Im vergangenen Jahr zahlten Opfer über eine Milliarde US-Dollar an die Akteure und ihre Partner – ein Rekordwert. Dabei war ,LockBit’ für etwa 25 Prozent aller Ransomware-Leaks im Jahr 2023 verantwortlich und verursachte in den letzten vier Jahren bei Tausenden von Opfern Verluste in Milliardenhöhe.“

Hinter den Kulissen sei es bereits zu der Beschlagnahmung von „Krypto-Währungen“, Verhaftungen, Anklagen, der Verhängung von Sanktionen sowie der eingehenden technischen Unterstützung der Opfer gekommen. Die gemeinsam durchgeführte Operation habe darüber hinaus die Übernahme der „LockBit“-Leak-Seite, die Offenlegung persönlicher Identitäten und Informationen zu Gruppenmitgliedern sowie Details über ihre früheren kriminellen Aktivitäten umfasst. Mithilfe dieser Maßnahmen werde diese Gruppe in der Cybercrime-Community diskreditiert und damit als Untergrundunternehmen für Kriminelle unrentabel.

Auch wenn „LockBit“ zweifellos die größte und einflussreichste Ransomware-Operation weltweit gewesen sei, mache die nun erfolgte „Disruption“ deutlich, dass kriminelle Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten – und dass sie sich durch Kooperationen einem erhöhten Risiko der Strafverfolgung aussetzten.

Verbrechergruppe LockBit wohl kaum komplett unschädlich, aber deutlich geschwächt

Die Maßnahmen der Operation gegen „LockBit“ führten laut Trend Micro zu folgenden Ergebnissen:

• Die Neutralisierung eines potenziell weit verbreiteten Ransomware-Stammes sowie die Verhinderung zukünftiger Angriffe.
• „Eine Strafverfolgungsoperation, die hoffentlich das Ende von ,LockBit’ bedeutet und die einen neuen Maßstab für die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Partnern setzt.“
• Die Eliminierung der Bedrohung durch eine neue Ransomware-Generation Dank der Analyse von Trend Micro.

„Wir bei Trend Micro sind stolz, dass wir mit unserer Bedrohungsforschung zu den Ermittlungen der globalen Strafverfolgungsbehörden beitragen konnten und Teil einer gemeinsamen Mission sind, um die Welt sicherer zu machen“, kommentiert Robert McArdle, Director „Forward Looking Threat Research Team“ bei Trend Micro, welcher sich demnach im regelmäßigen Austausch mit dem Federal Bureau of Investigation (FBI) und der National Crime Agency (NCA) befindet.

McArdles Fazit: „Letzte Woche hat Trend Micro weltweit Microsoft-Nutzer vor einer kritischen Schwachstelle geschützt; diese Woche konnten wir dabei unterstützen, die weltweit wichtigste Gruppe an Bedrohungsakteuren ihrer Führungsposition zu berauben. Nun sind Insider nicht so naiv anzunehmen, dass die Verbrechergruppe damit ausgelöscht sein wird. Einer Sache sind wir uns jedoch sicher: Kein vernünftiger Krimineller möchte noch einmal mit dieser Gruppe in Verbindung gebracht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

NCA, 20.02.2024
National Crime Agency
International investigation disrupts the world’s most harmful cyber crime group

TREND MICRO, 15.02.2024
Millionen User betroffen: Trend Micro entdeckt aktiv ausgenutzte Microsoft-Schwachstelle / Trend Micros Zero Day Initiative entdeckt Bug, der es Angreifern ermöglicht, kritische Schutzmaßnahmen zu umgehen

[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.

Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung

In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.

Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.

LockBit 4.0 als mögliche Bedrohung am Horizont

„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“

Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“

Grundlegende LockBit-Neuerungen laut Trend Micro:

• „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
• Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
• „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
• Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
• Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
• Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
• Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist

Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.

Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.

Weitere Informationen zum Thema:

TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version

FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

[datensicherheit.de, 07.02.2024] Es sei nicht das erste Mal, dass ein „Deep-Fake Boss“ ein Unternehmen um Millionen betrügt: Fast 24 Millionen Euro (200 Millionen Hongkong-Dollar) seien es laut „Hong Kong Free Press“ diesmal. Noch handele es sich um Einzelfälle, anders als die artverwandte E-Mail-gestützte sogenannte Chef-Masche oder „BEC Fraud“ (Business E-Mail Compromise). Richard Werner, „Business Consultant“ bei Trend Micro, kommentiert angesichts des jüngsten Vorfalls die „Deep-Fake Boss“-Masche: „Im Prinzip ist das Vorgehen identisch. Ein Mitarbeiter, vorzugsweise in der Finanzabteilung, wird von der Unternehmensleitung, dem ,Boss’, aufgefordert, Geld zu überweisen. An irgendein Konto und natürlich vertraulich.“ Es gehe um den Abschluss eines Deals, eine Firmenübernahme oder im kleineren Maßstab – auch mal nur um das Budget für Weihnachtsgeschenke. Werner führt weiter aus: „Gemeinsam haben alle, dass es möglichst schnell gehen muss und man es möglichst keinem mitteilen soll. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Video-Konferenz dazu auffordert? …“

Foto: Trend Micro

Richard Werner: Die Chef-Masche zählt zu den Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat

Chef-Betrug fokussiert auf Überzeugung des Opfers

Die „Chef-Masche“ zählt laut Werner zu den sogenannten Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat. Dazu müssten „Story“ und Gesamteindruck stimmen.

Indes: „Schon eine E-Mail, welche vom Account der Unternehmensleitung abgeschickt wird (oder zu sein scheint), ist oft ausreichend.“ Im vorliegenden Fall sei aber angeblich ein „Deep-Fake“-Video eingesetzt worden. Nun sei es schon sehr überzeugend, die andere Person direkt zu sehen und von ihr, in deren bekannter Stimme zu hören, was zu tun ist.

„Als Mitarbeitender werden Sie auf Ansage (,Hören Sie zu, ich hab’ es eilig!‘) möglicherweise stillschweigend akzeptieren, was ihnen aufgetragen wird.“ So scheine es zumindest im vorliegenden Fall gewesen zu sein, denn eine echte Interaktion sei laut Artikel nicht zustande gekommen – dies genau sei aber entscheidend für den Erfolg besagter Methode.

Chef-Betrug – Abwehr erfordert Unternehmenskultur und klare Richtlinien

Der beste Schutz vor der „Boss-Masche“ (auch BEC) ist laut Werner, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen: „In der Vergangenheit sagte man hier auch oft das Prinzip der ,doppelten’ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mail-Bestätigung.“ Das gelte auch heute noch.

Allerdings sollte man aus diesem „Deep-Fake“-Angriff lernen. „Die Video- und Audio-Bestätigung erfolgte – nur gab es keine Interaktion, der Angestellte hörte und sah nur zu“, berichtet Werner. Dadurch habe ein zuvor durch „Deep Fakes“ erstelltes Video eingespielt werden können. Der adressierte Mitarbeiter sei so getäuscht worden und habe das Geld überwiesen.

Werner rät abschließend dringend: „Will man derartige Attacken vermeiden, sollte man es den Mitarbeitern erlauben, – ja sie sogar dazu auffordern – ihre Chefs zu diesen Aktivitäten zu hinterfragen!“ Man mache es dadurch den Angreifern schwerer. Ganz auszuschließen sei es aber nicht, „wenn die grundsätzliche Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen“.

Weitere Informationen zum Thema:

HKFP HONG KONG FREE PRESS, 05.02.2024
Multinational loses HK$200 million to deepfake video conference scam, Hong Kong police say / Police received a report of the incident on January 29, at which point some HK$200 million (US$26 million) had already been lost via 15 transfers

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen

Ende Januar 2024 wurden in einem Untergrund-Webforum vorgebliche Daten von rund 50 Millionen Europcar-Kunden angeboten

[datensicherheit.de, 06.02.2024] Ende Januar 2024 sollen in einem Untergrund-Webforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten worden sein. Udo Schneider, „Security Evangelist Europe“ bei Trend Micro, führt in seinem Kommentar hierzu aus: „Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.“ Während Europcar die Vermutung geäußert habe, dass diese Daten mittels generativer KI (z.B. „ChatGPT“) erzeugt worden seien, seien andere Sicherheitsforscher indes der Meinung, dass hier keine KI am Werk gewesen sei. „Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden“, berichtet Schneider. Auch im Webforum sei dann schnell der Verdacht aufgekommen, dass die zum Kauf angebotenen Daten nicht authentisch seien – „was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde“.

Foto: Trend Micro

Udo Schneider: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht?

Daten-Raub als Geschäftsmodell Organisierter Cyber-Kriminalität

„So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick ,hinter die Geschichte’ offenbart weitere interessante Aspekte“, erläutert Schneider: Ein Narrativ im Ransomware-Umfeld der letzten Jahre sei die vermeintliche „Ehre“ der Cyber-Kriminellen: Wenn man für die Entschlüsselung zahlt, gebiete es diese „Ehre“ dieser Kriminellen, auch den Schlüssel herauszugeben – nur sei „Ehre“ hierbei wirklich nicht das richtige Wort.

Schneider betont: „Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine ,Ehre’.“

Angeblicher Daten-Diebstahl zeigt: Cyber-Kriminelle betrügen sich doch auch gegenseitig

Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen würden, sei eher einem verklärten Robin-Hood-Narrativ geschuldet als den Tatsachen: Denn im besagten Fall habe ein Krimineller versucht, andere Kriminelle zu betrügen. Man könne nur hoffen, dass es noch keine Käufer gab. „Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind.“

In der Vergangenheit hätten ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ („die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.“) sei dabei nur der Anfang. „,Doxing’-Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.“

Unternehmen sollten unbedingt ihre eigenen Daten kennen

Der vielleicht interessantere Aspekt aus Sicht der Verteidigung sei aber die Reaktion von Europcar: „Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren.“ Dieser Vorfall zeige aber auch, dass Kriminelle sehr wohl gefälschte Daten produzierten – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen. Schneider kommentiert: „Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware-Vorfall) eine weitere Erpressungsnachricht à la ,Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …‘.“

Laut Schneider stellt sich dann die entscheidende Frage: „Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden.“ Diese Nervosität erhöht aber u.U. die Wahrscheinlichkeit, dass gezahlt wird – „nur so als Fail-safe-Lösung“.

Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, als Teil der Risikobetrachtung

Daraus ergäben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens müsse dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden.

Ansonsten könne es sehr schnell passieren, dass z.B. das beauftragte „Incident Response Team“ die Daten nicht schnell genug verifizieren kann, „weil z.B. die Datenbanken technisch nicht zugänglich sind“. Ein weiterer Aspekt gerade bei personenbezogenen Daten sei sicherlich die DSGVO: „Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?“ Beides seien Dinge, die man „im Vorfeld“ relativ einfach definieren könne: Im Falle eines Falles könne dann der entsprechende Prozess geordnet durchlaufen werden. „Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann“, warnt Schneider. Dies wiederum erhöhe die Wahrscheinlichkeit, dass die Erpressungs-Opfer zahlten.

Tipps zur Vorbereitung auf echten bzw. vorgeblichen Daten-Raubzug:

1. Mentale Vorbereitung auf den Fall der Fälle
„Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden!“

2. Technisch-organisatorische Vorbereitung auf den Erpressungsfall
„Definieren Sie vorab Prozesse, mit denen ,Incident Responder’ im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren!“

Weitere Informationen zum Thema:

golem.de, Marc Stöckel, 31.01.2024
Daten womöglich von ChatGPT / Cyberangriff auf Europcar entpuppt sich als Fälschung

heise online, Dirk Knop, 31.01.2024
Europcar: Das Datenleck, das keines war / In einem Untergrundforum bietet jemand rund 50 Millionen Datensätze angeblich von Europcar an. Sie sind offenbar gefälscht.

Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet