[datensicherheit.de, 11.09.2024] In einer zunehmend digitalisierten und vernetzten Welt ist der Schutz sensibler Informationen offensichtlich von höchster Bedeutung. In diesem Zusammenhang sollte an die NIS-2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) erinnert werden, welche am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde und nun von den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Stephan Heimel, Prokurist und „Sales Director“ SEPPmail Deutschland GmbH, geht in seiner aktuellen Stellungnahme auf den Aspekt der E-Mail-Verschlüsselung im NIS-2-Kontext ein:

NIS-2-Einführung soll Maßnahmen gegen Cyber-Bedrohungen verstärken

Heimel führt aus: „Durch ihre Einführung sollen Maßnahmen gegen Cyber-Bedrohungen verstärkt und ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die IT-Sicherheit sowie Mindestsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste geschaffen werden.“

Ziel sei es, einheitliche Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht werden solle (Art.1 NIS-2). Heimel kommentiert: „Im Vergleich zur alten NIS-1-Richtlinie würden höhere Sicherheitsstandards gefordert, der Adressatenkreis wurde erweitert und die Strafen für eine Nichteinhaltung signifikant auf das Niveau der EU-DSGVO erhöht (bis zur Haftung der Geschäftsführung mit ihrem Privatvermögen).“

NIS-2: Chef-Sache oder Chef-Haftung

Er warnt: „Auch wenn sich Unternehmen auf den ersten Blick nicht zum Adressatenkreis dazugehörig fühlen, sollten sie sich dennoch nicht in Sicherheit wiegen. Art. 21 II d NIS-2 regelt, dass auch alle Risikomaßnahmen im Bereich der Cyber-Sicherheit die ,Sicherheit der Lieferkette …‘ umfassen müssen.“

Lieferanten, egal wie groß, werden demnach als mögliche Schwachstellen angesehen und tun gut daran, sich an die Sicherheitsstandards zu halten. „Unternehmen werden zunehmend eine Risikobewertung bei der Auswahl ihrer Dienstleister vornehmen und das Risikomanagement vertraglich regeln.“ Eine der Kernmaßnahmen, um diesen Anforderungen gerecht zu werden, sei die Verschlüsselung von E-Mails.

NIS-2-Richtlinie betont Notwendigkeit von IT-Sicherheitsmaßnahmen, um Integrität und Vertraulichkeit zu wahren

E-Mails seien nach wie vor eines der am häufigsten genutzte Kommunikationsmittel im geschäftlichen Umfeld und somit Angriffsvektor Nr. 1. Sie enthielten oft vertrauliche Informationen wie Geschäftsstrategien, personenbezogene Daten oder finanzielle Details. „Unverschlüsselte E-Mails sind anfällig für Angriffe, da sie während der Übertragung abgefangen und von Unbefugten gelesen werden können.“ Hier komme nun die Verschlüsselung ins Spiel.

„Durch die Verschlüsselung von E-Mails wird der Inhalt in einen unleserlichen Code umgewandelt, der nur von autorisierten Empfängern entschlüsselt werden kann. Dies stellt sicher, dass selbst im Falle eines Angriffs oder Datenlecks keine sensiblen Informationen preisgegeben werden.“ Die NIS-2-Richtlinie betone die Notwendigkeit solcher Sicherheitsmaßnahmen, um die Integrität und Vertraulichkeit der digitalen Kommunikation zu gewährleisten.

NIS-2 ante portas: Unabhängig von der Umsetzung in deutsches Recht sollten Unternehmen umgehend handeln

Auch wenn davon auszugehen sei, dass die Umsetzung der Richtlinie in deutsches Recht bis zum 17. Oktober 2024 nicht erfolgen werde, sollten Unternehmen, welche den Anforderungen der NIS-2-Richtlinie gerecht werden wollen, dringend die Implementierung von E-Mail-Verschlüsselung in ihre Sicherheitsstrategien integrieren.

„Dies schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheit ihrer Kommunikation“, unterstreicht Heimel abschließend – angesichts der steigenden Bedrohungen im sogenannten Cyberspace sei die Verschlüsselung von E-Mails ein unverzichtbares Element moderner IT-Sicherheit.

Weitere Informationen zum Thema:

datensicherheit.de, 23.08.2024
Der Countdown läuft: ESET-Whitepaper zur NIS-2-Richtlinie / Unterstützung für CISOs, um das Problembewusstsein und die NIS-2-Umsetzung bei Führungskräften zu fördern

datensicherheit.de, 22.08.2024
NIS-2-Richtlinie: Drängende Herausforderung für mehr Cyber-Sicherheit in der EU / Die NIS-2-Richtlinie der EU zielt darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen zu stärken

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

Die Verschlüsselung von E-Mails und ihren Anhängen als entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

Warnung des eco vor Gefährdung des Schutzes der persönlichen Daten jedes Einzelnen in Europa

[datensicherheit.de, 26.04.2024] Der eco – Verband der Internetwirtschaft e.V. betont in einer aktuellen Stellungnahme, dass ein Verschlüsselungsverbot praktisch nicht umsetzbar sei und gegen die Grundrechte verstoße. Europol hat demnach in einer am 18. April 2024 veröffentlichten Gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) kritisiert und die Industrie dazu aufgerufen, dafür Sorge zu tragen, dass illegale verschlüsselte Inhalte kontrolliert werden können. In der Praxis bedeutet laut eco indes jeder ermöglichte Zugriff Dritter auf verschlüsselte Daten „eine Aufweichung der starken Verschlüsselung“. Diese gefährde den Schutz der persönlichen Daten jedes Einzelnen in Europa.

Foto: eco e.V.

Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“: Ohne Verschlüsselung lässt sich die Privatsphäre jedoch nicht wirksam schützen!

eco unterstreicht Schutz der Privatsphäre als Menschenrecht

„Die europäischen Polizeichefs sprechen sich in einer Gemeinsamen Erklärung gegen Ende-zu-Ende-Verschlüsselung aus“, berichtet Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“. Dies sei falsch und nicht im Interesse der europäischen Bürger: „Europol kritisiert in einer am 18. April veröffentlichten gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) und ruft die Industrie auf, dafür zu sorgen, dass illegale verschlüsselte Inhalte kontrolliert werden können.“

Ohne Verschlüsselung lasse sich die Privatsphäre jedoch nicht wirksam schützen. Die Funktion der Verschlüsselung zum Schutz privater Daten komme der Funktion der verschlossenen Haustür zum Schutz privaten Eigentums gleich. Dehning betont: „Nicht umsonst gilt der Schutz der Privatsphäre als Menschenrecht. Ein Aufweichen von Verschlüsselung würde den Schutz privater Daten unmöglich machen und verletzt deshalb die Menschenrechte.“

eco-Fazit: Verschlüsselungsverbot praktisch nicht umsetzbar

Die von Sicherheitsbehörden immer wieder erhobene Forderung nach einer Schwächung von Verschlüsselung sei auch deshalb kontraproduktiv, „weil nicht anzunehmen ist, dass sich Terroristen und Verbrecher an das Verbot einer starken Verschlüsselung halten“. Wenn sie es geschickt anstellten, dann nutzten sie Methoden wie Steganographie, um die verschlüsselten Daten in anderen unverschlüsselten Nutzdaten zu verstecken.

Tatsächlich forderten gerade viele Behörden (BfDI, BNetzA, BSI, etc.) eine starke Verschlüsselung gespeicherter Daten, um diese vor Hackern und Cyber-Attacken zu schützen – also nicht nur bei Dienste-Anbietern, sondern auch bei Unternehmen oder auf privaten Devices. Dehning führt aus: „Europol fordert also, dass eine Entschlüsselung allein zum Zweck des Datenzugriffs der Sicherheitsbehörden im Fall der Übertragung der Daten an Dritte vorgenommen werden soll, während ebendiese Verschlüsselung bei gespeicherten Daten aufrechterhalten werden soll – das ist widersinnig.“ Sein Fazit: „Ein Verschlüsselungsverbot ist praktisch nicht umsetzbar, verstößt gegen die Grundrechte und kann die Sicherheit nicht wirklich verbessern.“

Weitere Informationen zum Thema:

EUROPOL, 21.04.2024
European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

Das Henne-Ei-Problem der Verschlüsselung

Von unserem Gastautor Szilveszter Szebeni, CISO von Tresorit

[datensicherheit.de, 06.04.2023] Eine forsa-Umfrage im Auftrag von Tresorit vom vergangenen Sommer kommt zu dem Ergebnis, dass ein knappes Viertel (23 Prozent) der befragten Unternehmen ab 50 Mitarbeitern in Deutschland ihre E-Mails ganz und weitere 60 Prozent teilweise verschlüsseln. Gleichzeitig gelingt es Cyberkriminellen weiterhin, sich über täuschend echt aussehende, aber unverschlüsselte E-Mails Zugang zu Unternehmensnetzen zu verschaffen. Im Folgenden wird der Frage nachgegangen, ob E-Mail-Verschlüsselung der Sicherheit zuträglich ist.

Im Rahmen der Umfrage wurden 100 Verantwortliche für IT-Sicherheit und Datenschutz sowie Geschäftsführer von Unternehmen ab 50 Mitarbeitern befragt. Neben dem hinsichtlich Datenschutz, Compliance und IT-Sicherheit erfreulichen Befund, dass mittlerweile über 80 Prozent der Unternehmen in Deutschland ihre E-Mail-Kommunikation zumindest teilweise verschlüsseln, berichtet mehr als die Hälfte der Befragten davon, dass sie einen Anstieg des Anteils verschlüsselter E-Mails in der Unternehmenskommunikation feststellen: Sieben Prozent sehen einen deutlichen Anstieg, knapp die Hälfte (48 Prozent) einen leichten.

Szilveszter Szebeni, CISO von Tresorit, Bild: Tresorit

Diese Umfrageergebnisse geben in der Tat Anlass zur Hoffnung, dass Cyberkriminelle immer weniger unverschlüsselte E-Mais als Einfallstor für ihre Angriffe nutzen können. Ob es sich dabei um gewöhnliche Spam-Nachrichten handelt, die sich an einen großen Empfängerkreis richten, oder um vermeintlich von Vorständen und Geschäftsleitungen (Stichwort „CEO Fraud“) stammende und gezielt an das Führungspersonal (Stichwort „Spear Phishing“) adressierte elektronische Nachrichten, spielt dabei eine untergeordnete Rolle. Das Ergebnis ist stets dasselbe: Datenspionage und -diebstahl oder das Einschleusen von Schadsoftware wie zum Beispiel Ransomware.

Leider jedoch scheint es vorerst bei der Hoffnung zu bleiben. So macht etwa die EU-Agentur für Cybersicherheit (ENISA) in ihrem aktuellen Lagebericht zu Cyberbedrohungen vom November 2022 Angriffe mit Ransomware als die aktuell größte Bedrohung aus, während das BSI in seinem Bericht „Ransomware“ zur Bedrohungslage 2022 banale Spam-E-Mails als Angriffstaktik identifiziert, die Cyberkriminelle weiterhin bevorzugen, weil sie damit erfolgreich sind.

Inhaltsverschlüsselung: Durchbruch steht aus

Der Trend zu Homeoffice und Neuordnung der Lieferketten hat zusammen mit einer verschärften Bedrohungslage zu einem größeren Sicherheitsbewusstsein in den Unternehmen geführt und den Anteil an verschlüsselter E-Mail-Kommunikation erhöht. Zwar wurde in der forsa-Befragung nicht zwischen Transport- und Inhaltsverschlüsselung unterschieden. Jedoch kommt in dem Bemühen, das bei Cyberkriminellen beliebte Einfallstor E-Mail-Kommunikation so weit wie möglich zu schließen, der Inhaltsverschlüsselung eine besondere Rolle zu: Verschlüsseln Versender ihre E-Mail-Nachrichten und deren Inhalte, ja sogar die Betreffzeilen in der E-Mail-Anwendung ihres Rechners, können Cyberkriminelle die Kommunikation nicht mehr mitlesen, selbst wenn sie die E-Mail-Server infiziert haben. Die Fälschungsversuche werden qualitativ schlechter und als solche leichter erkennbar, die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe sinkt.

Doch wie sehen das Entscheiderinnen und Entscheider in deutschen Unternehmen? Laut forsa-Umfrage sind rund 70 Prozent der Befragten der Meinung, dass E-Mail-Verschlüsselung dazu geeignet ist, Betrugsmaschen wie „CEO Fraud“ und „Spear Phishing“ zu vereiteln. Zwar wurde in der Studie nicht danach gefragt, ob E-Mail-Verschlüsselung auch dazu geeignet ist, Ransomware-Angriffe zu erschweren, aber da Cyberkriminelle sowohl bei den genannten Betrugsmaschen „CEO Fraud“ und „Spear Phishing“ als auch bei Ransomware-Attacken gefälschte E-Mail-Nachrichten als Angriffsmethode nutzen, erscheint das Studienergebnis durchaus auch auf Ransomware übertragbar – nicht zuletzt deshalb, weil laut ENISA-Bericht Ransomware-Angreifer neben eher gewöhnlichen Spam-Nachrichten auch auf ausgefeiltere Angriffstaktiken wie „Spear Phishing“ zurückgreifen.

Das Henne-Ei-Problem der E-Mail-Verschlüsselung

Das Haupthindernis, das der Verbreitung von Inhaltsverschlüsselung im E-Mail-Verkehr im Wege steht, ist ein klassisches Henne-Ei-Problem: Bei gängiger Ende-zu-Ende-Verschlüsselung müssen Sender und Empfänger dieselbe Lösung einsetzen, was in der Regel aber gerade nicht der Fall ist. Dass der im Grunde richtige Ansatz von De-Mail weitgehend aufgegeben und damit eine Chance auf die allgemeine Nutzung von E-Mail-Verschlüsselung in den Unternehmen und der Bevölkerung vertan wurde, lässt sich in erster Linie genau darauf zurückführen.

Im Umkehrschluss bedeutet das für eine ausreichend hohe Anwenderakzeptanz: Damit die Unternehmen entsprechende Angebote wahrnehmen und ihr Personal diese im Arbeitsalltag nutzt, müssen die verwendeten Lösungen auch dann funktionieren, wenn die Empfänger verschlüsselter Nachrichten nicht dieselbe Verschlüsselungslösung einsetzen wie die Versender. Ebenso wichtig ist, dass die Empfänger auf verschlüsselte Nachrichten mit verschlüsselten Antworten reagieren können.

Verschlüsselung braucht Vertrauen und Bedienkomfort

Zwar spricht gerade letzter Punkt für ein externes Angebot. Doch viele Unternehmen sind weiterhin skeptisch. Laut forsa-Studie begründet rund die Hälfte der Unternehmen, die bisher keinen externen Verschlüsselungsdienst nutzen oder wollen, dies unter anderem damit, dass Empfänger den gleichen Service nutzen müssten beziehungsweise dass der externe Anbieter auf die verschlüsselten Mails zugreifen könne. Und denjenigen Unternehmen, die bereits eine externe Verschlüsselungslösung nutzen oder dies planen, ist es fast ausnahmslos wichtig, dass sich der Service nahtlos in die eigene E-Mail-Umgebung einbinden beziehungsweise auch ohne vorherige Schulung einfach nutzen lässt. Darüber hinaus ist die Verfügbarkeit einer echten Ende-zu-Ende-Verschlüsselung für rund drei Viertel dieser Unternehmen ein wichtiges Entscheidungskriterium.

Vertrauen, Einfachheit und Integration sind also der Schlüssel für die erforderliche User-Akzeptanz und damit für eine flächendeckende inhaltsverschlüsselte E-Mail-Kommunikation im Geschäftsverkehr. Das sind sicherlich hohe Anforderungen an eine entsprechende Verschlüsselungslösung. Nur wenn sie erfüllt sind, lässt sich jedoch das Henne-Ei-Problem lösen und gleichzeitig für den notwendigen Integrationsgrad und damit Bedienkomfort sorgen.

Der Aufwand, geeignete Angebote im Markt zu evaluieren und zu abonnieren, lohnt sich für Unternehmen in jedem Fall. Schließlich verriegelt eine von Client zu Client verschlüsselte E-Mail-Kommunikation das derzeit am meisten missbrauchte Einfallstor für Cyberangriffe so gut wie keine andere Technologie.

Weitere Informationen zum Thema:

datensicherheit.de, 09.06.2022
E-Mails: Sicherheit funktioniert nur flächendeckend

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht bei den Standards

[datensicherheit.de, 15.09.2022] Utimaco warnt in einer aktuellen Stellungnahme davor, dass die heute zur Verschlüsselung benutzten Algorithmen sich bald als zu schwach erweisen könnten – sobald nämlich sogenannte Quantencomputer praxistauglich werden. „Daher kommt es jetzt darauf an, Algorithmen und Hardware zu entwickeln, die auch diesen leistungsfähigen Superrechnern standhalten“, lautet die entsprechende Empfehlung.

NIST-Empfehlung für vier quantensichere Algorithmen

Die US-Bundesbehörde National Institute of Standards and Technology (NIST) habe bereits vor einigen Jahren einen Prozess zur Definition bzw. Bewertung von quanten-resistenten Algorithmen eingeleitet. Die potenziellen Kandidaten seien in verschiedenen Runden ausgewählt worden. „Insgesamt wurden mehr als 80 Algorithmen vorgeschlagen, wovon einige bereits recht früh ausschieden.“

Grund dafür war demnach, dass mathematisch Angriffe für Quantencomputer entwickelt wurden, welche die Algorithmen brechen oder stark schwächen konnten. Aktuell habe das NIST die dritte Runde des Evaluationsprozesses abgeschlossen. Ergebnis dessen sei die Empfehlung von vier Algorithmen, welche als „quantensicher“ angesehen werden könnten.

Zeit drängt: Quantencomputer könnten schon bald Realität werden

Der Begriff „Quantencomputer“ klinge zunächst etwas nach Science Fiction oder ganz ferner Zukunft. Doch sie könnten schon sehr bald Realität werden. In einer ad hoc Utimaco-Umfrage unter Kunden hätten 64 Prozent der Teilnehmer angegeben, dass sie reale Bedrohungen durch Quantencomputer innerhalb der nächsten fünf bis neun Jahre erwarteten.

35 Prozent dieser Umfrageteilnehmer hätten daher bereits damit begonnen, Post-Quanten-Kryptographie in ihrem Unternehmen einzuführen. Tatsächlich werde es dafür höchste Zeit: „Werden heute beispielsweise selbstfahrende Autos entwickelt, die zehn und mehr Jahre im Verkehr bleiben sollen, müssen diese über Verschlüsselungen verfügen, die auch in einer Zukunft mit Quantencomputern sicher bleiben.“

Weitreichende Konsequenzen des Brechens nicht- quantensicherer Algorithmen

Werde es versäumt, die Kommunikation eines Fahrzeugs adäquat abzusichern, drohe die Gefahr, dass Kriminelle sich Zugang verschaffen und die Kontrolle über die Autos übernehmen könnten. „Was das für die Insassen bedeuten könnte, möchte man sich nicht vorstellen.“ Doch auch an anderer Stelle könnte es zu weitreichenden Problemen kommen.

Immer mehr Dokumente und Verträge würden heute elektronisch signiert, statt auf Papier unterschrieben. Hinter der elektronischen Signatur stehe allerdings auch ein kryptographischer Prozess, welcher auf die Integrität der verwendeten Algorithmen angewiesen sei. „Falls ein Algorithmus gebrochen wird, hätten alle damit getätigten Signaturen schlagartig keine Beweiskraft mehr.“ Um das zu verhindern, sollten Unternehmen und Institutionen frühzeitig damit beginnen, wichtige digitale Dokumente zu re-signieren. Durch diese erneute Signatur mit einem quantensicheren Algorithmus werde der Beweiserhalt für die Zukunft sichergestellt.

Welt, in der Quantencomputer existieren, aber keine dafür ausgelegten Algorithmen, als beunruhigende Vorstellung

Neben den digitalen Signaturen seien auch Identifikations- und Authentifikationsprozesse im Netz auf sichere Algorithmen angewiesen, um Zugangsdaten zu verschlüsseln. „Kriminelle, die diese Verschlüsselung brechen könnten, hätte ganz neue Möglichkeiten des Identitätsdiebstahls.“ Eine Welt, in der zwar Quantencomputer existierten, aber keine dafür ausgelegten Algorithmen, wäre also eine beunruhigende Vorstellung.

Utimaco rät abschließend: „Unternehmen sollten sich bereits heute so aufstellen, dass sie für den Wechsel zu quantensicheren Algorithmen bereit sind, wenn dies nötig wird.“ Dazu gehöre unter anderem, auf der Hardware-Seite aufzurüsten und Hardware-Sicherheitsmodule anzuschaffen, „die mit den neuen Algorithmen und komplexeren Schlüsseln umgehen können“. Diese Investition sei das ideale Risikomanagement: „Sobald der Fall eintritt, dass Quantencomputer öffentlich verfügbar sind, können Unternehmen ihre Systeme schnell upgraden.“ Müssen sie allerdings dann erst von null anfangen, könne es eventuell zu spät sein – die Migrationszeit sollte man keinesfalls unterschätzen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2022
Quanten-Kryptographie könnte Ende der Lauschangriffe bedeuten / Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

datensicherheit.de, 03.11.2019
Schutz gegen Quantencomputer: Wettrüsten gestartet / Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und quantensichere Datenverschlüsselung einleiten

datensicherheit.de, 28.10.2019
Quantencomputer bedrohen Absicherung vernetzter Systeme / Google hat Start für neues Computerzeitalter gesetzt

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie / Vernetzte Geräte, Daten und Kritische Infrastrukturen langfristig vor möglichem Quantencomputer-Angriff schützen

Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

[datensicherheit.de, 19.07.2022] Quantencomputer könnten in einigen Jahren unsere heutigen, konventionellen Verschlüsselungen knacken – als Gegenmaßnahme forschen Wissenschaftler deshalb seit Jahren daran, eben ein nicht-knackbares Verschlüsselungssystem zu entwickeln. „Und diese Forschung zeigt bereits erste Erfolge. Beispielsweise hat Google mit ,Sycamore‘ einen Prozessor entwickelt, der das Herzstück eines Quantencomputers mit 53 Qubits bildet“, berichtet Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Erfolge und Entwicklungen der vergangenen Jahre zeigen, dass es gilt, sich vorzubereiten!

Abhörversuche auf quanten-kryptisch verschlüsselten Kanälen fallen direkt auf

Während traditionelle Verschlüsselungssysteme auf Mathematik basierten, basiere die Quanten-Kryptographie auf physischen Eigenschaften. Damit eröffne die Quanten-Kryptographie neue Möglichkeiten: Finden Abhörversuche auf quanten-kryptisch verschlüsselten Kanälen statt, fielen diese direkt auf. Denn etwaige Abhör- sowie Manipulationsversuche beeinflussten die Daten auf Quantenebene und -verfahren machten diese Einflüsse messbar.

„Die Quanten-Kryptographie nutzt Elementarteilchen und Photonen, um mit ihren wesentlichen Eigenschaften ein unknackbares Verschlüsselungssystem zu schaffen. Das ist damit zu begründen, dass der Quantenstatus eines Systems nicht messbar ist, ohne es dabei zu beeinflussen. In der Folge können Abhör- sowie Manipulationsversuche einfach nicht unentdeckt bleiben“, erläutert Schrenk.

Quanten-Verschlüsselung funktioniert bisher unter Laborbedingungen

Dass Quanten-Verschlüsselung funktioniert, hätten neben IBM – Ende 2021 stellte das Unternehmen mit „Eagle Chip“ einen Quantenprozessor mit 127 Qubits vor – auch andere Forscher bewiesen. Jedoch habe es sich um Versuche unter Laborbedingungen und über recht kurze Distanzen hinweg gehandelt: So sei es im Sommer 2015 der Universität Genf in Zusammenarbeit mit dem Hersteller Corning gelungen, eine Distanz von über 300 Kilometern zu überwinden. Wenig später, im Jahr 2018, sei die Überwindung einer Strecke von 421 km gelungen.

„Dass der Quantentechnologie die Zukunft gehört, beweist auch die Tatsache, dass die Entwickelnden des freien SSH-Frameworks ,OpenSSH‘ ab Version 9.0 den Schlüsselaustausch gegen Angriffe durch Quantencomputer abgesichert haben“, so Schrenk. Dafür hätten sie eine „Streamlined NTRU Prime“ genannte Methode implementiert. Als quelloffenes Public-Key-Kryptosystem nutze „NTRU“ gitterbasierte Kryptographie zum Ver- bzw. Entschlüsseln von Informationen.

Verfahren der Post-Quanten-Kryptographie auf klassischer Hardware zu implementieren

Vorreiter der Quanten-Kryptographie gebe es bereits: Die sogenannte Post-Quanten-Kryptographie. Schrenk führt aus: „Mit Post-Quanten-Kryptographie werden Bemühungen bezeichnet, quanten-sichere Krypto-Verfahren, also Verfahren die sich nicht durch Quantencomputer brechen lassen, zu standardisieren. Das ,Post-Quantum Cryptography Projekt‘ ist beispielsweise eine dieser Standardisierungsaktivitäten im Sektor der quantencomputer-resistenten Kryptographie.“

Es sei 2016 vom US-amerikanischen National Institute of Standards and Technology initiiert, allerdings sei der ganz große Durchbruch bisher noch nicht gelungen. Schrenk sieht dennoch Potenzial: „Verfahren der Post-Quanten-Kryptographie lassen sich entgegen zur Quanten-Kryptographie auf klassischer Hardware implementieren.“

Quantencomputer und Post-Quantum-Kryptoverfahren derzeit noch nicht für praktische Anwendung

Damit sei sowohl der praktische Einsatz von Quanten-Kryptographie als auch Quantencomputern noch Zukunftsmusik. Wie lange noch, werde sich zeigen. Denn experimentelle Quantencomputer seien bereits in verschiedenen Forschungseinrichtungen gebaut worden. Tech-Giganten wie IBM, Google, Microsoft und Infineon hätten längst Physiker, Mathematiker oder Informatiker angeworben, um erste kommerzielle Quantencomputer entwickeln zu können.

„Kommerziell wurde die Technologie bis dato noch nicht genutzt – sowohl Quantencomputer als auch die Post-Quantum-Kryptoverfahren befinden sich derzeit nicht auf einem Stand, der die praktische Anwendung erlaubt. Dennoch zeigen die Erfolge und Entwicklungen der vergangenen Jahre, dass es gilt, sich vorzubereiten. Es müssen dringend Verfahren, die sich nicht durch Quantencomputer brechen lassen, gefunden werden“, betont Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.06.2022
IT-Security / Quantenkryptografie einfach erklärt

[datensicherheit.de, 09.06.2022] An den Tatsachen, dass die E-Mail das Business-Kommunikationsmedium Nummer 1 sei und dass die meisten Hacker-Angriffe nach wie vor über die E-Mail-Kommunikation erfolgten, habe sich nichts geändert. Um etwa Phishing- oder Ransomware-Angriffe zu verhindern, existierten inzwischen professionelle Signatur- und E-Mail-Verschlüsselungstechnologien auf dem Markt. Doch viele Unternehmen verfolgten den Ansatz, „dass diese Technologien nur für eine Auswahl von Mitarbeitern angeschafft werden und nicht flächendeckend für alle, die per E-Mail kommunizieren – ein fataler Fehler“, kommentiert Stephan Heimel, Prokurist und „Sales Director“ der SEPPmail – Deutschland GmbH.

Intensive Nutzung von E-Mails in Unternehmen auch Hackern bewusst

Heimel: „Wie viele E-Mails versenden Sie täglich während Ihrer Arbeitszeit? Höchstwahrscheinlich sehr viele; schließlich ist die E-Mail nach wie vor das meist genutzte Kommunikationsmittel in Unternehmen – und das zu Recht: So ist es äußerst praktisch, dem Kollegen, Kunden oder Partner ,mal eben‘ eine Mail zu schicken. Dies geht häufig nicht nur schneller als anzurufen, sondern der Empfänger bekommt die Nachricht auch sofort ,schwarz auf weiß‘, was zu einem besseren Verständnis führen kann.“

Doch die intensive Nutzung von E-Mails in Unternehmen sei auch Hackern bewusst. Mit perfiden Tricks schafften sie es immer wieder, sich in E-Mail-Systeme einzuschleusen, sensible Daten abzugreifen, Schad-Software zu verbreiten oder Dateien zu verschlüsseln.

Professionelle E-Mail-Sicherheitslösungen noch nicht ausreichend implementiert

Einige Unternehmen hätten bereits reagiert und professionelle E-Mail-Sicherheitslösungen implementiert. Sie setzten E-Mail-Verschlüsselungstechnologien ein, „um zu gewährleisten, dass die elektronischen Nachrichten auf ihrem gesamten Versandweg vom Absender bis zum Empfänger von keinem Unbefugten mitgelesen oder abgefangen werden“. Darüber hinaus schafften Unternehmen mit Signaturen Integrität und Authentizität des Absenders, wodurch sich der Empfänger sicher sein könne, dass die E-Mail wirklich vom angegebenen Absender und nicht von einem potenziellen Betrüger stammt.

Heimel führt weiter aus: „Was ist nun der Haken an der Sache? Einige Firmen gehen davon aus, dass es ausreicht, wenn nur ein paar Mitarbeiter diverse Sicherheitstechnologien einsetzen. Dies ist aber keineswegs der Fall. Denn wie wollen Sie den Schutz vor CEO-Fraud, Ausspähung und dem Abgreifen vertraulicher Informationen gewährleisten oder der Manipulation von Inhalten entgegenwirken, wenn eine Vielzahl Ihrer Mitarbeiter unverschlüsselt kommuniziert?“

Home-Office: Erhöhte Aufmerksamkeit auf E-Mail-Sicherheit erforderlich

„Der Trend, dass Mitarbeiter vermehrt im Home-Office arbeiten, erfordert eine höhere Aufmerksamkeit im Bereich der sicheren E-Mail-Kommunikation.“ Das Arbeiten außerhalb des Büros führe dazu, dass Mitarbeiter noch mehr E-Mails versendeten, „während sie sich nicht in der geschützten Umgebung der Firma befinden und sich dadurch noch angreifbarer machen“.

Dieser Aspekt spreche ebenfalls dafür, dass jeder Mitarbeiter professionelle Signatur- und E-Mail-Verschlüsselungstechnologien benötige. Denn das Haftungsrisiko bleibe immer beim Verantwortlichen, also dem Unternehmen oder eben auch der Geschäftsleitung persönlich. Heimels Fszit: „Das Risiko negativer Folgen durch die unverschlüsselte Kommunikation ist wesentlich höher als die Investition in eine flächendeckende sichere E-Mail-Kommunikationslösung.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht bei den Standards / Benötigt werden ein „Fachübersetzer“ und IT-Verantwortliche einen guten Durchblick

[datensicherheit.de, 21.10.2021] Die Global Encryption Coalition ruft die Öffentlichkeit nach eigenen Angaben dazu auf, „am heutigen ,Global Encryption Day‘ auf stark verschlüsselte Dienste umzusteigen und ihr Recht auf Privatsphäre und Sicherheit zu verteidigen“. Derzeit werde die Verschlüsselung von Regierungen auf der ganzen Welt bedroht, welche „Hintertüren“ für die Strafverfolgung schaffen wollten – dies könnte indes böswilligen Akteuren Zugang zu sensiblen Informationen verschaffen und die nationale und öffentliche Sicherheit gefährden. Hunderte von Technologieunternehmen und eine Zivilgesellschaft hätten sich aber bereits zur Verwendung einer starken Verschlüsselung verpflichtet.

Verschlüsselung schützt persönliche Sicherheit von Milliarden von Menschen…

Eine Gruppe von zivilen Organisationen und Technologieunternehmen aus der ganzen Welt hat sich demnach am ersten „Globalen Verschlüsselungstag“ zusammengeschlossen, um die Verwendung starker Verschlüsselung zu fördern und sich bedrohlichen Bemühungen von Regierungen und Strafverfolgungsbehörden zu widersetzen, diese zu untergraben.
Verschlüsselung schütze die persönliche Sicherheit von Milliarden von Menschen und die nationale Sicherheit von Ländern in aller Welt. Ausgegrenzte Gemeinschaften, Überlebende häuslicher Gewalt und Politiker, welche mit hochsensiblen Informationen arbeiteten, benötigten alle Verschlüsselung, um ihre Kommunikation privat und sicher zu halten.

Auch Strafverfolgungsbehörden nutzen Verschlüsselung

Selbst Strafverfolgungsbehörden nutzten verschlüsselte Kommunikationssysteme, „um sicherzustellen, dass organisierte Kriminelle und Terrororganisationen keinen Zugang zu ihren Ermittlungen erhalten“. Dank starker Verschlüsselung könnten die Menschen auf Online-Banking und Gesundheitsdienste zugreifen, „ohne befürchten zu müssen, dass ihre persönlichen Daten gestohlen werden“.
Die Verwendung starker Verschlüsselung sei dennoch von vielen Regierungen weltweit in Frage gestellt worden, weil sie befürchteten, dass Kriminelle die Verschlüsselungstechnologie ausnutzten, um illegale Aktivitäten im Internet zu verbergen. Diese Vorschläge zur Schwächung oder Aushöhlung der starken Verschlüsselung könnten Nutzer jedoch tatsächlich anfälliger für Cyber-Angriffe und Straftaten machen.

Wenn man die Verschlüsselung schwächt, werden Menschen sterben, warnt Edward Snowden

Edward Snowden, Vorstandsmitglied der Freedom of the Press Foundation und der „Whistleblower“ hinter den NSA-Überwachungsenthüllungen, kommentiert: „Wenn man die Verschlüsselung schwächt, werden Menschen sterben. Allein in diesem Jahr, nach dem Sturz der afghanischen Regierung, haben wir gesehen, wie wichtig Verschlüsselung für die Sicherheit der Menschen ist. Die ,Covid-Pandemie‘ hat uns vor Augen geführt, wie wichtig verschlüsselte Messaging-Apps auf unseren Smartphones sind, um mit unseren Angehörigen zu kommunizieren, wenn wir krank sind und Hilfe brauchen.“
Ärzte nutzten verschlüsselte Messaging-Apps, um mit ihren Patienten zu kommunizieren und persönliche Informationen sicher auszutauschen. Verschlüsselung mache uns alle sicherer: „Von Familien, die Fotos ihrer Kinder schützen, bis hin zu persönlichen Gesundheitsinformationen – Verschlüsselung schützt unsere privaten Daten.“

Ohne Verschlüsselung wäre es für Snowden unmöglich gewesen, Whistleblowing zu betreiben

Snowden betont: „Ohne Verschlüsselung wäre es für mich unmöglich gewesen, ,Whistleblowing‘ zu betreiben.“ Seine ersten Nachrichten an Journalisten seien verschlüsselt gewesen, und ohne eine sichere Ende-zu-Ende-Verschlüsselung sei es unmöglich, sich vorzustellen, wie investigativer Journalismus überhaupt stattfinden könnte.
„Trotzdem versuchen Regierungen auf der ganzen Welt, die Verschlüsselung zu schwächen, indem sie Plattformen auffordern, ,Backdoors‘ für die Strafverfolgung zu schaffen. Ich habe aus Erster Hand gesehen, wie Regierungen ihre Macht missbrauchen können, um im Namen der nationalen Sicherheit auf die persönlichen Daten unschuldiger Menschen zuzugreifen“, erläutert Snowden. Eine Schwächung der Verschlüsselung wäre ein kolossaler Fehler, der Tausende von Menschenleben gefährden könnte, so seine Warnung.

Schutz starker Verschlüsselung entscheidend für Schutz der Menschenrechte

„Der Schutz einer starken Verschlüsselung ist entscheidend für den Schutz der Menschenrechte von Millionen von Menschen auf der ganzen Welt“, unterstreicht Jimmy Wales, Gründer von Wikipedia. Jeder habe das Recht auf Privatsphäre und Sicherheit – das könne nur mit einer sicheren „End-to-End“-Verschlüsselung gewährleistet werden. Eine Schwächung der Verschlüsselung bringe uns alle in Gefahr.
Wales führt aus: „Als wir mit Wikipedia begannen, war es unerschwinglich, sichere Verschlüsselung für jede Seite der Website zu verwenden, aber es war immer eine unserer Prioritäten, und wir haben sie so bald wie möglich eingeführt.“ Es gebe keine Entschuldigung dafür, jetzt keine Verschlüsselung zu verwenden – Regierungen und Technologieplattformen hätten die Pflicht, die Öffentlichkeit zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen

Make the Switch
Global Encryption Day Statement / 153 organizations and businesses have signed our statement of support

Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

[datensicherheit.de, 26.08.2021] Einige Security-Anbieter sorgten derzeit für Schlagzeilen, da sie die Ransomware-Infektionen als „Double“, „Triple“ und „Quadruple Extortion“ bezeichneten. „Die Begriffe weichen inhaltlich davon ab, wie die unterschiedlichen Vorgehensweisen der Erpresser bewertet werden“, erläutert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4. Letztlich scheine es aber so zu sein, „dass Cyber-Kriminellen nicht mehr nur die Daten per Ransomware verschlüsseln, stehlen und mit Veröffentlichung drohen“, sondern auch noch per „Denial of Service“ (DoS) den Opfern drohten, sollten sie den Lösegeldforderungen nicht nachkommen. Darüber hinaus würden auch noch im Falle von „Supply Chain“-Attacken die weiteren Betroffenen Lieferanten, Partner, Kunden und Mitarbeiter von den Kriminellen informiert, um eine weitere Drohkulisse aufzubauen. Zuletzt würden die Informationen noch an die Medien gespielt, so dass über eine Berichterstattung der Fall publik werde.

Foto: KnowBe4

Jelle Wieringa: Neue Ransomware-Varianten im Umlauf…

Massiver Rückgang durchschnittliche Lösegeldzahlungen nach Ransomwaare-Infektionen

Wieringa kommentiert: „Dies alles zeigt, dass Erpresser zunehmend professioneller vorgehen und der ,Business Case Ransomware‘ so lukrativ ist, dass ganze Strategien ringsherum erarbeitet und die nötigen Personen beschäftigt werden, die den ,Business Case‘ dann umsetzen.“
Die Ransomware-Welt könnte aus Sicht der Cyber-Kriminellen also nicht rosiger sein, doch es gebe auch Moll-Töne, und der aktuelle Report von Coveware deute den Grund dafür an: „In dem Report wurde ein massiver Rückgang der durchschnittlichen Lösegeldzahlungen festgestellt – etwas mehr als 136.000 US-Dollar, ein Rückgang um 38 Prozent gegenüber dem ersten Quartal dieses Jahres.“

Anzahl der Ransomware-Angriffe gestiegen

Dennoch sei der Prozentsatz der Ransomware-Angriffe gestiegen, bei denen die Gefahr bestehe, dass exfiltrierte Daten durchsickerten – „in diesem Quartal um fünf auf 81 Prozent“. Die Summe des erpressten Geldes werde also geringer, die Anzahl der Angriffe steige jedoch – und das rasant. Jedoch immer weniger Opfer wollten das Lösegeld zahlen: „Der IT-Hersteller Kaseya will kein Geld gezahlt haben und die Kreisverwaltung Anhalt-Bitterfeld weigert sich beharrlich und hat sogar die Bundeswehr eingeschaltet“, berichtet Wieringa.
Neben der Verweigerung einer Lösegeldzahlung, die auch die oben beschriebenen neuen Methoden der zwei-, drei- und vierfachen Erpressung rechtfertigen würde, könnte es aber auch andere Faktoren geben. Der Report von Coveware gebe an, dass es neue Ransomware-Varianten gebe, die andere verdrängt hätten. Das könne Insidern zufolge mit neuen Gruppen zusammenhängen, die weniger Lösegeld forderten als etablierte Gruppen.

Unternehmen jeder Größe werden nach wie vor Opfer von Ransomware

Nachdem zum Jahreswechsel die „Emotet“-Erpresser von den Strafverfolgungsbehörden festgesetzt wurden, scheine nun die Ransomware-Gruppe „REvil“ durch politisch-polizeilichen Druck verschwunden zu sein. Auch wenn es Spekulationen über den Verbleib der Betreiber gebe, „die von Urlaub über Gefängnis bis zu neuerlichen Aktivitäten unter dem Deckmantel einer neuen Ransomware reichen“, nehme die Strafverfolgung im Netz Fahrt auf. Ein weiterer Grund – „und hier schwingt viel Hoffnung mit“ – sei, dass Unternehmensleiter weltweit erkannt hätten, dass sie ihre Maßnahmen für mehr IT-Sicherheit und Informationssicherheit erhöhen müssten.
„Was auch immer der Grund für die gesunkenen Lösegeldzahlungen ist, die Coveware-Analyse zeigt, dass Unternehmen jeder Größe nach wie vor angegriffen werden und Opfer von Ransomware werden können“, unterstreicht Wieringa. Unternehmen sollten daher Maßnahmen ergreifen, um sich vor den drei primären Angriffsvektoren zu schützen. Häufigste Ansatzpunkte sollten Schwachstellen in Netzwerk und Software, Fernzugriff über RDP und Schutz gegen Phishing sein. „Dafür müssen Unternehmen ihre Mitarbeiter mit einem ,New School Security Awareness Training‘ schulen, damit diese nicht auf bösartige E-Mail-Inhalte hereinfallen“, empfiehlt Wieringa abschließend.

Weitere Informationen zum Thema:

COVEWARE, 23.07.2021
Q2 Ransom Payment Amounts Decline as Ransomware becomes a National Security Priority

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken

LockBit-Ransomware seit September 2019 beobachtet

[datensicherheit.de, 14.08.2021] Laut einer aktuellen Stellungnahme von SecurityHQ wurde Accenture, „ein weltweit tätiges Cyber-Consulting-Unternehmen, das Management- und Beratungsdienste anbietet“, von einer Cyber-Bedrohung heimgesucht, welche demnach eine als „LockBit“ bekannte Ransomware verwendet.

Abbildung: SecurityHQ

SecurityHQ-Warnung: Sobald eine Domain infiziert ist, werden von der Malware neue Gruppenrichtlinien erstellt und an die mit dem Netzwerk verbundenen Geräte gesendet

LockBit-Ransomware erstmals im September 2019 beobachtet

„LockBit“-Angriffe seien dafür bekannt, dass sie „Windows“-Domains mit Hilfe von „Active Directory“-Gruppenrichtlinien verschlüsseln könnten. „Sobald eine Domain infiziert ist, werden von der Malware neue Gruppenrichtlinien erstellt und an die mit dem Netzwerk verbundenen Geräte gesendet. Hier deaktivieren die Richtlinien den Virenschutz und implementieren die Malware.“
Die „LockBit“-Ransomware sei erstmals im September 2019 beobachtet worden. Seitdem habe sich diese Malware erheblich weiterentwickelt, und nachdem die Werbung für diese Ransomware in Hacker-Foren gesperrt worden sei, „wurde eine neue Leak-Seite eingerichtet, um ihre neueste Variante zu präsentieren, nämlich ,LockBit 2.0‘“.

Mittels Ransomware-Attacke sollen mehr als 6 TB an Daten von Accenture gestohlen worden sein

Mit dem Einsatz von „LockBit 2.0“ behaupte der Angreifer, „mehr als 6 TB an Daten von Accenture gestohlen zu haben“, und fordere 50 Millionen US-Dollar als Gegenleistung. Die Betreiber von „LockBit“ hätten behauptet, sich Zugang zum Netzwerk von Accenture verschafft zu haben und bereiteten sich darauf vor, die von den Accenture-Servern gestohlenen Dateien zu veröffentlichen.
Dieser Hacker-Angriff sei auf der Leak-Site angekündigt worden: „Diese Leute sind jenseits von Datenschutz und Sicherheit. Ich hoffe wirklich, dass ihre Dienste besser sind als das, was ich als Insider gesehen habe. Wenn Sie am Kauf einiger Datenbanken interessiert sind, kontaktieren Sie uns.“

Ransomware-Lösegeldforderung in Höhe von 50 Millionen US-Dollar unbestätigt

Accenture habe am 11. August 2021 eine Erklärung abgegeben: „Durch unsere Sicherheitskontrollen und -protokolle haben wir unregelmäßige Aktivitäten in einer unserer Umgebungen festgestellt. Wir haben die Angelegenheit sofort unter Kontrolle gebracht und die betroffenen Server isoliert.“ Sie hätten die betroffenen Systeme vollständig aus dem Backup wiederhergestellt, und es habe keine Auswirkungen auf den Betrieb von Accenture oder auf die Systeme ihrer Kunden gegeben.
Angesichts des Ausmaßes der Kontrollen, des betroffenen Kundenkreises und der möglicherweise gefährdeten Daten argumentierten einige, dass dies eine starke Verharmlosung des Einbruchs darstelle. Tatsächlich sei die Lösegeldforderung in Höhe von 50 Millionen US-Dollar von Accenture noch immer nicht bestätigt worden – „und da Accenture keine Fragen dazu beantwortete, welche Daten konkret betroffen waren, ob auf Daten zugegriffen wurde oder wie hoch die Lösegeldforderung war bzw. ist, gibt es noch keine verbindliche Bestätigung von ihnen“.

Vorbereitung auf Ransomware-Bedrohung: SecurityHQ stellt Whitepaper zur Verfügung

Ransomware-Angriffe nähmen von Tag zu Tag zu – man sollte darauf vorbereitet sein. „In unserem Whitepaper ,Ransomware Controls – SecurityHQ’s Zero Trust x40‘ finden Sie 40 Empfehlungen, mit denen sich Ihr Unternehmen gegen zukünftige und aktuelle Bedrohungen schützen kann.“
Dazu Begründungen für jede Empfehlung, mit Beispielen aus der Praxis und Analysen der jüngsten Ransomware-Bedrohungen. Ferner eine Untersuchung der „asymmetrischen Kriegsführung“, mit der Sie konfrontiert würden, um sich selbst, das eigene Unternehmen und dessen Mitarbeiter auf die Zunahme von Ransomware-Angriffen vorbereiten zu können.

Weitere Informationen zum Thema:

security affairs, Pierluigi Paganini, 11.08.2021
Accenture has been hit by a LockBit 2.0 ransomware attack

SecurityHQ, Blog, Eleanor Barlow, August 2021
Cyber Consulting Company, Accenture, Hit by LockBit Ransomware Attack

SecurityHQ
WHITE PAPER / Ransomware Controls – SecurityHQ’s Zero Trust x40

SecurityHQ
Report a Cyber Security Incident