Schlagwort-Archiv: Datenschutz

Einloggen, statt Hacken: Missbrauch privilegierter Konten durch Cyberkriminelle

Sicherheitstechnologien wie Privileged Access Management-Lösungen (PAM) mit dezidiertem Zero Trust-Ansatz ermöglichen es, Nutzern nur den Zugriff mit den unbedingt erforderlichen Berechtigungen („Least Privilege“) zu gewähren. (Bildquelle: Centrify)

Sicherheitstechnologien wie Privileged Access Management-Lösungen (PAM) mit dezidiertem Zero Trust-Ansatz ermöglichen es, Nutzern nur den Zugriff mit den unbedingt erforderlichen Berechtigungen („Least Privilege“) zu gewähren. (Bildquelle: Centrify)

Für Cyberkriminelle ist der Missbrauch kompromittierter Anmeldedaten heute eine der beliebtesten Angriffstechniken. Statt sich in Systeme einzuhacken, die durch hochentwickelte Sicherheitstechnologien geschützt werden, nehmen Kriminelle mit ausgefeilten Social-Engineering-Attacken Mitarbeiter als das schwächste Glied in der Verteidigungskette ins Visier.

Mit den erbeuteten Zugangsdaten loggen sie sich anschließend einfach ein. Dabei haben es Angreifer vor allem auf das Kapern von Konten mit umfangreichen Berechtigungen abgesehen. Diese liefern den goldenen Schlüssel zu Systemen und Netzwerkressourcen und bilden die perfekte Tarnung für Datenexfiltration oder Sabotage.

Einmal eingedrungen, bewegen sich Angreifer lateral, um das Netzwerk zu scannen, erhöhen gegebenenfalls ihre Privilegien und extrahieren sensibelste Daten wie Bankkonteninformationen, Geschäftsgeheimnisse oder geistiges Eigentum. Zuletzt verwischen sie ihre Spuren, sodass einem Unternehmen unter Umständen nicht einmal bewusst ist, dass sich die Angreifer monatelang im System aufgehalten haben. Darüber hinaus können Cyberkriminelle privilegierte Zugangsdaten nicht nur für eigene Attacken nutzen, sondern sie auch lukrativ durch Verkauf im Darknet zu Geld machen.

Laut dem Analystenhaus Forrester spielen kompromittierte privilegierte Zugangsdaten bei 80 Prozent aller Sicherheitsvorfälle eine Rolle (The Forrester Wave: Privileged Identity Management, Q4 2018). Um dieser wachsenden Bedrohung Herr zu werden, sollten Unternehmen deshalb ihre Sicherheitsbemühungen verstärkt auf die eigentliche Ursache des Problems konzentrierten.

Hilfestellungen gegen Missbrauch privilegierter Konten

Multi-Faktor-Authentifizierung (MFA) für privilegierte Benutzer ist eine der besten Möglichkeiten, um zu verhindern, dass unbefugte User auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen können. (Bildquelle: Centrify)

Multi-Faktor-Authentifizierung (MFA) für privilegierte Benutzer ist eine der besten Möglichkeiten, um zu verhindern, dass unbefugte User auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen können. (Bildquelle: Centrify)

Um Angreifern selbst im Fall eines Diebstahls privilegierter Log-in-Daten laterale Bewegung, Datendiebstahl und Sabotage unmöglich zu machen, benötigen Unternehmen einen mehrschichtigen Sicherheitsansatz aus Best Practices und Technologien. Die folgenden fünf grundlegende Maßnahmen helfen, den Missbrauch privilegierter Konten durch Cyberkriminelle zu minimieren:

 Sicherheitstrainings für Mitarbeiter: Cyberkriminelle nutzen oft ausgefeilte Social-Engineering-Taktiken, um beispielsweise durch umfangreich recherchierte Spear-Phishing-Attacken an sensible Zugangsdaten zu gelangen. Regelmäßige und umfassende Sicherheitsschulungen, inklusive einer dezidierten Aufklärung der Benutzer über die Merkmale und Folgen von Phishing-Angriffen, sind deshalb ein wesentlicher erster Schritt, um das Risiko kompromittierter Anmeldedaten zu reduzieren.

 Nutzerkonten-Erfassung und Passwort-Tresore: Dieser Schritt beginnt mit dem Erfassen und Registrieren aller Server, die ein Unternehmen in seiner Umgebung betreibt. Anschließend sollten alle von mehreren Usern verwendeten Konten, Alternate-Administrator-Konten sowie Dienst-Konten durch Passwort-Tresore geschützt sowie eine sichere Administrationsumgebung aufgebaut werden. Darüber hinaus sollten Auditing und die Überwachung von Sessions privilegierter Nutzer implementiert werden.

Identitätskonsolidierung und geringstmögliche Zugriffsberechtigungen: Zudem kann die Angriffsfläche weiter reduziert werden, indem Identitäten konsolidiert und lokale Konten so weit wie möglich eliminiert werden. Weiterhin sollten Kontrollen für die Berechtigungserweiterung implementiert werden sowie ein Just-in-Time-Privilegien-Zugriff: Dabei werden erforderliche Privilegien nur für einen begrenzten Zeitraum und/oder einen begrenzten Bereich vergeben.

Multi-Faktor-Authentifizierung (MFA) für privilegierte Benutzer: Eine der einfachsten Methoden ist darüber hinaus die Implementierung einer Multi-Faktor-Authentifizierung für alle privilegierten Benutzer. MFA ist eine der besten Möglichkeiten, um zu verhindern, dass unbefugte User auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen können. Daher sollte eine MFA-Implementierung für alle Unternehmen Standard sein, insbesondere wenn es um den Schutz von Privilegien geht.

 Härtung der Umgebung durch Air-Gaping und mit Hilfe von Machine Learning: Der letzte Schritt besteht darin, die Umgebung durch Air-Gaping, also einer logischen Isolation der Administrationskonten voneinander, zu härten, wie es Microsoft‘s Konzept der Enhanced Security Administration Environment (ESAE) vorschlägt. Um Angreifern keinerlei Umgehungsmöglichkeiten zu bieten, sollten zudem die Überwachung von Befehlen und die Verhaltensanalyse privilegierter Nutzer auf Basis von Machine Learning (User Behavior Analytics, UBA) eingesetzt werden. Diese Lösungen schlagen bei anormalen und verdächtigen Aktivitäten umgehend Alarm. Für die sensibelsten Umgebungen kann darüber hinaus noch eine Multi-Faktor-Authentifizierung der Sicherheitsstufe 3 hinzugefügt werden.

Sicherheitstechnologien wie Privileged Access Management-Lösungen (PAM) mit dezidiertem Zero Trust-Ansatz ermöglichen es hier, Nutzern nur den Zugriff mit den unbedingt erforderlichen Berechtigungen („Least Privilege“) zu gewähren.

Dies geschieht, basierend auf der Überprüfung, wer den Zugriff anfordert, dem Kontext der Anforderung und dem Risiko der Zugriffsumgebung. Da sich traditionelle Netzwerk-Perimeter zunehmend auflösen, bietet eine PAM-Lösung mit Least-Privilege- und Zero-Trust-Ansatz sowohl kleinen und mittleren Unternehmen als auch großen Organisationen mit komplexen, heterogenen und agilen Infrastrukturen mit DevOps, Cloud-Instanzen und Containers umfassenden Schutz ihrer privilegierter Konten.

Für Cyberkriminelle ist der Diebstahl privilegierter Anmeldedaten und deren Missbrauch für den Zugriff auf ein Netzwerk in der Regel einfacher, effizienter und weniger riskant als das Ausnutzen einer bestehenden Schwachstelle – selbst eines Zero-Day-Exploits. Deshalb ist für Unternehmen ein mehrschichtiger Sicherheitsansatz, bestehend aus Sicherheitstrainings und der umfassenden Stärkung ihrer Authentifizierungssysteme, eine wichtige Voraussetzung, um Cyberangriffe durch Privileged Access Abuse abzuwehren.

Autor: Martin Kulendik ist Regional Sales Director bei Centrify. Centrify definiert den herkömmlichen Ansatz für Privileged Access Management mit seiner Zero Trust Privilege-Lösung neu, um moderne Angriffsflächen in Unternehmen zu schützen. 

 

 

China spioniert per App 100 Millionen Android-User aus

Das deutsche IT-Sicherheitsunternehmen Cure53 hat eine offizielle App der kommunistischen Partei Chinas untersucht, berichtet The Next Web. Demnach hat die App mit dem Namen „Study the Great Nation“ umfangreiche Spionagemöglichkeiten eingebaut. Die App wurde auf über 100 Millionen Android-Geräten installiert. In China wird sie aktiv über WeChat und Weibo beworben. Einige staatsnahe Unternehmen sowie Bildungseinrichtungen verpflichten ihre Arbeitnehmer und Studenten sogar dazu, die App zu installieren. Die App erlaubt etwa Videochats, das Verschicken von Nachrichten die später automatisch gelöscht werden und das Erstellen eines Online-Kalenders und liefert aktuelle Nachrichten der staatlichen Nachrichtenagenturen. Ein Beitrag in „Futurezone“. … mehr …

 

 

Kommentar: Computer und künstliche Intelligenz machen Arbeit, viel Arbeit. Sie ist schlecht bezahlt – und das KI-Prekariat bleibt unsichtbar

Auch die besten KI-Systeme sind auf ständige menschliche Unterstützung angewiesen. Die Scharen von Helfern werfen sozialpolitische Fragen auf, lässt aber auch technische Risiken sichtbar werden. Ein Beitrag in der „NZZ“. …mehr

 

Sicherheitsrisiko Slack & Co: Was digitale Zusammenarbeit für die IT-Sicherheit bedeutet

Collaboration (Bildquelle:  rawpixel @ Pixabay)

Collaboration (Bildquelle: rawpixel @ Pixabay)

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann.

Der Siegeszug von Slack

In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

Heute zählt Slack über 10 Millionen täglich aktive Nutzer und mehr als 85.000 zahlende Kunden weltweit. Jeden Tag senden sich Slack-Benutzer auf der ganzen Welt Milliarden von Nachrichten und Dateien. „I’ll Slack you“ ist im englischen Sprachgebrauch längst zu einer gängigen Formulierung für den Versand von Informationen über die Plattform geworden.

Mit den Produktivitätsvorteilen, die Slack bietet, gehen allerdings auch Risiken für die Datensicherheit einher. Nutzer können eine Vielzahl von sensiblen Dateien in der App miteinander teilen, von Architekturdiagrammen und proprietärem Code bis hin zu persönlichen und unternehmenssensiblen Daten, wie beispielsweise Finanzinformationen. Mit einfachen Best Practices, wie beispielsweise einer guten Passworthygiene und der Schulung von Mitarbeitern für einen sensiblen Umgang mit Daten und Zugriffsarten, lässt sich zumindest ein Mindestmaß an Sicherheit herstellen.

Sämtliche Datenströme, die durch die Anwendung laufen, können allerdings kaum manuell durch das IT-Sicherheitspersonal überwacht werden. Darüber hinaus haben IT-Administratoren aufgrund der privaten Kanäle und der Direct Messaging-Funktionen von Slack oft keinen Überblick, welche Informationen untereinander ausgetauscht und gemeinsam genutzt werden.

IT-Teams haben also keinen Überblick, welche Daten über die App geteilt werden und ebenso wenig, wo diese sich befinden und ob sie eventuell in falsche Hände geraten sind. Für Unternehmen bedeutet dies, Sicherheitsmaßnahmen jenseits des Netzwerkperimeters ergreifen zu müssen, um sowohl die Nutzung von als auch die Daten in Slack zu sichern. Dies gilt insbesondere für Unternehmen, die Slack regelmäßig oder als primäre Business Collaboration Software einsetzen. Sie benötigen eine Sicherheitslösung, die eine umfassende Transparenz und granulare Kontrollmöglichkeiten bietet.

Datensicherheit und -kontrolle mit CASBs

Cloud Access Security Broker (CASB) setzen auf Datenebene an und bieten damit unmittelbare Kontrollfunktionen für die sichere Nutzung von Cloudanwendungen. Mit ihnen lässt sich regeln, wie und wann Benutzer auf Cloudanwendungen wie Slack zugreifen können und wie Daten darin ausgetauscht werden. Unternehmen können damit fortlaufend nachvollziehen, wer welche Art von Daten teilt und wo diese herkommen. Um zu verhindern, dass sensible Daten in die falschen Hände geraten, können Unternehmen innerhalb eines CASBs Richtlinien einrichten, die diese Daten beispielsweise bei Bedarf automatisch in Slack-Nachrichten und Dateien ausblenden.

Darüber hinaus bieten CASBs eine Vielzahl weiterer Funktionen, die für die Sicherung der Nutzung von Slack und den Schutz von Unternehmensdaten unerlässlich sind: Multi-Faktor-Authentifizierung (MFA) verifiziert die Benutzeridentität zusätzlich zum Passwort mit weiteren Merkmalen, Data Loss Prevention (DLP) erweitert die Zugriffsebenen für Benutzer auf der Grundlage ihrer Bedürfnisse und Privilegien, und Advanced Threat Protection (ATP) verhindert, dass sich Malware über die Cloud verbreitet.

Durch die API-Integration mit Slack und die Proxy-Funktion kann ein CASB automatisch alle Benutzeraktivitäten und Datenströme in der gesamten Unternehmensanwendung über alle Teams und Kanäle hinweg scannen. IT-Sicherheitsteams haben die Möglichkeit, in Echtzeit Richtlinien anzuwenden, mit denen sich Daten auch bei Benutzeraktivitäten innerhalb privater Kanäle und Direktnachrichten sichern lassen. Sensible Daten sowie der Austausch derselben werden automatisch identifiziert und das Sicherheitsrisiko somit deutlich reduziert.

Führende CASBs operieren außerdem agentenlos, das bedeutet, es ist keine Installation von Software-Agenten auf den Mobilgeräten der Mitarbeiter nötig. Selbst wenn Mitarbeiter von Privatgeräten auf Slack zugreifen, sind die Daten gesichert und im Fall eines Geräteverlusts auch das Löschen der Unternehmensdaten aus der Ferne möglich.

Datenzentrierte IT-Security im Blick

Der Wechsel zu Cloudanwendungen wie Slack markiert für Unternehmen auch einen Wandel in ihrer IT-Security-Strategie. Daten sind in der digitalen Unternehmenswelt die wichtigste Ressource und verlangen ebenso sorgfältigen Schutz wie die Netzwerkinfrastruktur. Der Einsatz von CASBs kann dazu beitragen, den Wandel hin zu einer datenzentrierten Sicherheitsstrategie zu vollziehen.

Autor: Michael Scheffler ist Area Vice President EMEA bei, Bitglass.Bitglass ist ein weltweit tätiger Anbieter einer NextGen-CASB-Lösung mit Sitz im Silicon Valley. Die Cloud-Sicherheitslösungen des Unternehmens bieten agentenlosen Zero-Day-, Daten- und Bedrohungsschutz überall, für jede Anwendung und jedes Endgerät. Bitglass wird finanziell von hochrangigen Investoren unterstützt und wurde 2013 von einer Gruppe von Branchenveteranen gegründet, die in der Vergangenheit zahlreiche Innovationen eingeführt und umgesetzt haben.

Achillesferse Servicekonto: Black Hat-Umfrage enthüllt den beliebtesten Angriffspunkt der Hacker

Obwohl eine vernachlässigte Passwortrotation eines der größten Sicherheitsrisiken in der Verwaltung von privilegierten Accounts darstellt, werden rund 35 Prozent der Passwörter für sensible Servicekonten niemals oder nur nach einem Sicherheitsvorfall geändert. Dies ist das Ergebnis des aktuellen 2019 Black Hat Hacker Surveys des PAM-Spezialisten Thycotic.

Für den Report befragte Thycotic im Rahmen der diesjährigen Security-Konferenz Black Hat in Las Vegas insgesamt 300 Hacker und Security-Professionals zu ihren bevorzugten Angriffszielen und effektiven Schutzmaßnahmen in Zusammenhang mit privilegierten Konten und verglich die Antworten der beiden Gruppen anschließend miteinander.

Servicekonten – die Achillesferse der Unternehmens-IT

Einigkeit herrschte dabei unter anderem in Sachen Angriffsziel: Sowohl Hacker als auch Sicherheitsprofis sehen demnach in Servicekonten einen beliebten Angriffspunkt. Das liegt nicht zuletzt daran, dass diese Accounts Zugriff auf sensible Informationen gewähren und zudem Möglichkeiten der Privilegien-Erhöhung bereithalten.

Da Servicekonten selten von menschlichen Usern genutzt werden und ihre Aufgaben dementsprechend „hinter den Kulissen“ erfüllen, werden sie selten überprüft. Gleichzeitig zögern IT-Administratoren, Servicekonten zu deaktivieren, da sie ihre Abhängigkeiten oft nur schwer verstehen können und eine störende Betriebsunterbrechung unbedingt vermeiden wollen. Dabei sind Servicekonten in der Cloud, on-premises oder in hybriden Umgebungen gleichermaßen gefährdet, wie die befragten Hacker klarstellen.

 Nachlässigkeit bei der Passworthygiene

Eine schlechte Passworthygiene in den Unternehmen spielt den Angreifern bei der Kompromittierung von Service-Accounts dabei oft in die Hände. Beide Gruppen monieren, dass Passwörter für Servicekonten nicht regelmäßig geändert werden, obwohl eine vernachlässigte Passwortrotation eines der größten Sicherheitsrisiken in der Verwaltung von privilegierten Accounts darstellt.

In 44 Prozent der Fälle treffen die befragten Hacker bei ihren Angriffen demnach auf Accounts, deren Zugriffsdaten nie bzw. nur nach einem Security-Vorfall geändert werden. In immerhin 36 Prozent der Fälle rotieren die Passwörter einmal pro Monat, was den Hackern jedoch immer noch rund 30 Tage Zeit gibt, um ihren Angriff durchzuführen und sich lateral im Netzwerk zu bewegen.

Diese Angaben decken sich mit den Antworten der befragten Security-Professionals, von denen 36 Prozent zugaben, Servicekonto-Passwörter nie bzw. nur nach einem Incident zu wechseln. Täglich werden die Passwörter laut Report nur in rund 3,5 Prozent der Fällen gewechselt.

„Die ordnungsgemäße Absicherung von Servicekonten stellt Unternehmen vor große Herausforderungen, insbesondere wenn mehrere Accounts für verschiedene Services, Aufgaben und Anwendungen betroffen sind“, so Joseph Carson, Chief Security Scientist bei Thycotic. „Die Passwortverwaltung ist bei Servicekonten ebenfalls kein Kinderspiel. So können Administratoren ein Servicekonto-Passwort nicht einfach ändern, solange sie nicht wissen, wo genau es verwendet wird. Tun sie es doch, besteht das Risiko, dass andere wichtige Anwendungen abstürzen.“

 Servicekonten müssen konsequent verwaltet und überwacht werden

Um privilegierte Accounts wie Service-Konten vor Missbrauch zu schützen, bedarf es neben einer Passwortrotation weiterer Sicherheitsmaßnahmen, darin sind sich Hacker wie IT-Pros einig. Beide Gruppen empfehlen zum einen eine wirksame Identifizierung und Entfernung veralteter und entbehrlicher Accounts, da sie schnell übersehen werden können und ihr Missbrauch lange unentdeckt bleiben kann. Zum anderen sollten IT-Abteilungen alle Aktivitäten von privilegierten Konten streng überwachen, um verdächtiges Verhalten frühzeitig zu erkennen.

 Weniger als fünf Prozent der befragten Hacker schlägt aus geleakten Informationen Profit

Uneinigkeit herrschte unter den Gruppen vor allem in Sachen Hacker-Ethik. Während fast 50 Prozent der befragten Sicherheitsprofis davon überzeugt sind, dass Hacker gestohlene sensible Daten aus Profitgründen auf jeden Fall verkaufen würden, widersprachen dem ebenso viele der befragten Hacker. Die Hälfte von ihnen gibt gehackte kritische Informationen demnach verantwortungsvoll weiter. An einen Verkauf der geleakten Informationen bzw. eine Lösegeldforderung denken weniger als fünf Prozent. Das dürfte nicht zuletzt daran liegen, dass sich rund 36 Prozent der befragten Hacker selbst als sogenannte White Hat-Hacker definieren.

Cyber-Sabotage durch Datenmanipulation: Wenn Kriminelle Daten nicht stehlen, sondern verändern

(Bildquelle: myrfa @pixaby)

(Bildquelle: myrfa @pixaby)

Cyberkriminelle stehlen nicht nur Daten. Manchmal ist es stattdessen ihr Ziel, Daten bewusst zu manipulieren. Attacken, bei denen externe Angreifer oder böswillige Insider subtile Veränderungen an unternehmenskritischen Daten wie etwa Quellcodes, Finanzdokumenten oder Bauplänen vornehmen, können für Unternehmen genauso verheerend sein wie Diebstahl.

Es bedarf oft nur eines Fehlers, beispielsweise durch einen Angriff auf industrielle Steuerungssysteme, um die Produktion von Gütern zu unterbrechen oder zu verzögern und eventuell eine gesamte Lieferkette zu gefährden. Hat das Unternehmen keine adäquate Möglichkeit zu überprüfen, ob wichtige Daten legitim sind, kann dies zudem das Vertrauen im Unternehmen von innen heraus zersetzen.

 Die verborgene Bedrohung: Beispiele für Cyber-Sabotage

Der Autohersteller Tesla verklagte 2018 einen ehemaligen Mitarbeiter, der laut CEO Elon Musk vertrauliche Daten und Geschäftsgeheimnisse gestohlen habe, weil ihm eine Beförderung versagt worden sei. Der Mitarbeiter soll nicht nur Gigabyte an vertraulichen Daten exportiert haben, sondern auch in einem Akt der Sabotage unter falschen Benutzernamen Änderungen am Tesla Manufacturing Operating System vorgenommen haben – dem Satz grundlegender Befehle für die Fertigungslinien von Tesla.

Datenmanipulation ist ein beliebtes Mittel für Cyberkriminelle, weil sie schwer zu erkennen ist. Diese Angriffe werden häufig von böswilligen Insidern durchgeführt, die einen privilegierten Zugang zu kritischen Daten haben. Wenn ein Insider beispielsweise Zugriff auf Baupläne für eine neue Produktionsstätte bekommt, kann er unauffällige Änderungen vornehmen, die systematische Fehlfunktionen in der Produktion auslösen.

Ein solcher Angriff kann letztendlich dazu führen, dass ein Unternehmen aus dem Geschäft ausscheidet und einem Konkurrenten die Möglichkeit gibt, Marktanteile zu übernehmen. Wenn der Täter ein scheinbar vertrauenswürdiger Insider ist, ist es umso schwieriger, ihn aufzuspüren.

Im Zuge der zunehmenden Digitalisierung im Gesundheitsbereich werden auch Krankenhäuser und Pflegeeinrichtungen immer verwundbarer. Falls es einem Angreifer gelingt, eine Manipulationsattacke auf Patienteninformationen durchzuführen und kritische Daten wie etwa Arzneimitteldosierungen zu ändern, kann dies dramatische Folgen haben.

 Maßnahmen gegen Datenmanipulationen

Für IT-Teams ist es eine Herausforderung festzustellen, wann ein Angreifer nur kleine Veränderungen an Daten vornimmt und anschließend den Tatort unbemerkt verlässt. Doch Anomalien in Systemprotokollen, Änderungen an Dateien zu verdächtigen Zeiten und Alarme bei Bedrohungssignaturen, um verdächtiges und bösartiges Verhalten zu erkennen, können verräterische Anzeichen einer Datenmanipulation sein.

Um diese Art Angriffe zu bekämpfen, müssen Unternehmen sicherstellen, dass sie über eine Endpunkttransparenz in ihren IT-Systemen verfügen. Dringt ein Angreifer erfolgreich in ein Netzwerk ein, muss er sich horizontal durch die Umgebung bewegen, um die Daten zu finden, nach denen er sucht. Für Sicherheitsteams ist es von entscheidender Bedeutung, die Spuren forensisch verfolgen zu können, um solche Aktivitäten zu erkennen. Im Folgenden vier Tipps, um sich gegen Datenmanipulation zu schützen:

  •  Das Angreiferverhalten besser verstehen: Das MITRE ATT&CK Framework, eine kontinuierlich wachsende Online-Wissenssammlung gegnerischer TTPs (Tactics, Techniques and Procedures) sowie Verhaltensweisen beschreibt sehr detailliert jede Phase eines Cyberangriffs und die besten Methoden zur Erkennung und Abschwächung jeder Technik. Dieses Framework kann Sicherheitsexperten sehr bei ihrer Arbeit unterstützen.
  •  Einblick in Endpunkte: Zwar stehlen Angreifer bei Datenmanipulationsangriffen auf den Endpunkt nicht unbedingt Daten, jedoch profitieren Unternehmen von Technologien zur Endpoint Detection and Response, indem sie einen besseren Einblick in das Verhalten an Endpunkten sowie in die Datenbewegung bekommen.
  •  Überwachung der Dateiintegrität: Unternehmen können zudem Lösungen zur Überwachung der Dateiintegrität verwenden, um Echtzeitänderungen an Dateien, Ordnern und anderen Einstellungen zu identifizieren und zu verfolgen.
  •  Aktivitätenprotokollierung: Auch die Protokollierung von Aktivitäten kann bei der Abwehr von Datenmanipulationsangriffen helfen. Jedoch müssen IT-Teams interne Kontrollen entwickeln, um diese Informationen zu überprüfen und sicherzustellen, dass sie ständig die von ihrer Umgebung erzeugten Protokolle auswerten.

Datenmanipulation kann massive Auswirkungen haben und unter Umständen zu erheblichen Störungen in einem Unternehmen führen. Die Vorbereitung auf diese Angriffe durch einen mehrschichtigen Ansatz aus Technologien und Best Practices ist jedoch der erste Schritt, um die möglichen Folgen eines Angriffs aktiv zu verhindern.

 Autor: Christoph M. Kumpa istector DACH & EE bei Digital Guardian. Digital Guardian bietet eine bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden.

Phishing-Attacke für Instagram-Account nutzt 2FA-Köder

Instagram

Instagram

Als Cyberkriminelle das erste Mal Phishing in großem Stil einsetzten, gingen sie direkt dorthin, wo sie Geld vermuteten: zum Bankkonto. In Folge erhalten Nutzer bis heute Warnmeldungen von Banken, mit denen sie noch nie zu tun hatten. Ominöse Experten empfehlen mit schlechter Grammatik und kurioser Rechtschreibung auf noch merkwürdigere Webseiten zu gehen. Achtsamkeit ist also ein guter Rat, bis heute. Denn die meisten Betrüger machen Fehler, die sie entlarven. Schlimm genug, überhaupt Opfer eines Phishing-Angriffs zu werden. Aber es ist noch viel ärgerlicher, wenn man sich aus Unachtsamkeit bei der „Deutschenn Bank“ oder der „Volcksbank“ einloggt.

 Besonders wertvoll: Passwörter für Instagram, Facebook und Co.

Heutzutage sind nach wie vor Phishing-E-Mails im Umlauf, die versuchen, Bank-Zugangsdaten zu erbeuten. Hinzukommen aber zahlreiche Phishing-Mails, die nach weiteren Account-Passwörtern trachten. E-Mail-Konten etwa sind der Hauptgewinn für Betrüger. Sie dienen häufig als Referenzadresse zur Wiederherstellung vergessener Passwörter.

Gelangt ein Cyberkrimineller an einen E-Mail-Account, kann er damit diverse andere Konten (Paypal, Facebook, Instagram etc.) ins Visier nehmen und sich über die Funktion „Passwort zurücksetzen“ oder „Passwort vergessen“ dauerhaften Zugang zu vielen anderen Accounts zu verschaffen. Besonders gemein: das Opfer merkt davon meist gar nichts. Bis etwas passiert, natürlich.

Aber auch Passwörter für soziale Medien sind für Betrüger ein beliebtes Ziel. Denn die Inhalte dieser Konten offenbaren den Kriminellen weit mehr Informationen als sie mit regulärer Recherche je erfahren könnten. Dabei sind die Folgen mehrfach gemein: sie sind sehr persönlicher Natur und sie treffen zudem Dritte. So vermag der Betrüger beispielsweise auch den Account von Freunden oder Familienmitgliedern zu manipulieren.

Tatsächlich überwiegen bereits heute Phishing-Mails, die nach Passwörtern für E-Mail- und Social-Media-Accounts trachten, gegenüber denen, die hinter Bankzugängen her sind.

 Die Betrüger werden immer besser – ein „exzellentes“ Beispiel

Es fällt schwer es zuzugeben, aber die Betrüger arbeiten mittlerweile gut und überlegt, wie folgendes Beispiel zeigt:

Abgesehen von wenigen Interpunktionsfehlern und einem fehlenden Leerzeichen vor dem „Please“, ist diese Nachricht kaum als Fake zu erkennen. Sie ist klar und unauffällig genug, um unterhalb des menschlichen Alarmradars zu bleiben. Die Verwendung der Zahlenreihe, die auf den ersten Blick wie ein 2FA-Code erscheint, ist ein cleverer Schachzug. Die Verwendung impliziert, dass der Nutzer kein Passwort verwenden muss, sondern stattdessen einfach nur per Code bestätigen muss, dass ihn die E-Mail erreicht hat. Der F2A-Code täuscht Sicherheit vor.

Klickt man in der Mail auf den Link, könnte man im Browser am Domainnamen (hier im Beispiel unkenntlich gemacht) den Betrugsversuch erkennen oder zumindest vermuten. Es ist eine Seite mit Domain-Endung „cf“ für Centralfrique, eine der vielen aufstrebenden Volkswirtschaften, die Domains für wenig Geld vergeben in der Hoffnung, möglichst viele User mit möglichst cool klingenden Domain-Namen zu ködern.

Experten der SophosLabs gehen davon aus, dass die Betrüger gezwungen waren, eine der frei verfügbaren, aber eben doch etwas weniger glaubwürdigen Domainnamen zu nutzen. Dennoch ist diese Phishing-Seite ein nahezu perfekter und glaubwürdiger Nachbau der echten Seite und verfügt sogar über ein valides HTTPS-Zertifikat.

Michael Veit, Security Experte bei Sophos, erklärt: „Web-Zertifikate sichern eine Verbindung zu einer Website und verhindern, dass Antworten angeschaut oder manipuliert werden können. Sie sorgen dafür, dass die Person, die das Zertifikat erworben hat, sich wirklich an der Website anmeldet und diese auch ändern kann. Die Zertifikate bürgen jedoch nicht für den tatsächlichen Inhalt der Webseiten oder dort verfügbare Dateien. Mit anderen Worten: einer Website ohne Vorhängeschloss ist definitiv nicht zu trauen, ebenso wenig wie einer mit Tipp- und Grammatikfehlern. Doch auch bei Webseiten mit „Vorhängeschloss“ und scheinbar fehlerfreier Umsetzung gilt grundsätzlich immer, Vorsicht walten zu lassen.“

 Prävention ist wichtig

Wie macht sich eine Phishing-Seite, die glaubhaft wirkt und ein HTTPS-Vorhängeschloss mitbringt, verdächtig? Michael Veit sagt: “Obwohl die Betrüger in diesem Beispiel einen ungewöhnlich glaubwürdigen Fake kreiert haben, gibt es verräterische Anzeichen von Phishing-Attacken, an denen man sich orientieren kann.“

 Drei Tipps für das Erkennen von Phishing-Aktivitäten:

  1.  Sign-in Links in E-Mails. Die einfache Lösung: ab in den Papierkorb. Warum sollte man sich via E-Mail in einen seiner Social-Media-Accounts einloggen? Das geht doch direkt. Wahlweise via App oder Lesezeichen im Browser anmelden.
  2. Überraschender Domainname. Wo hat der Browser mich hingeführt? Ist die Adresszeile zu kurz für die komplette URL? Ein einfacher Trick: die Adresszeile kopieren und in ein anderes Dokument einfügen. Sieht verdächtig aus? Dann ist sie es wohl auch. Besser ignorieren oder eine zweite Meinung dazu einholen.
  3. Anfrage ohne Grund. Besteht Grund zur Annahme, ein Fremder hätte sich in den eigenen Account eingeloggt, sollten Nutzer zur Prüfung der Login-Aktivitäten die offiziellen Möglichkeiten des Dienstanbieters wählen. Es gibt keinen Grund, Web-Links zu trauen, die von irgendwo kommen könnten. Ärgerlicherweise gibt es kein einheitliches Verfahren bei den verschiedenen Social-Media-Apps. Aber mit etwas gesundem Menschenverstand und Übung können betrügerische Prozesse schnell erkannt werden.

#Cybercrime: Fake President-Betrug auf dem Vormarsch

Fake President-Betrug und ihre verheerenden Auswirkungen auf Unternehmen sind an sich nichts Neues. Unternehmen haben dadurch bereits Millionen von Euro an Kriminelle verloren und viele Mitarbeiter haben in der Folge ihre Arbeitsplätze verloren. Experten zufolge machte der Fake President-Betrug – auch bekannt als Business Email Compromise – fast ein Viertel aller Schäden in der DACH-Region aus.

Damit hat der Betrug sogar Bedrohungen wie Ransomware oder Datenschutzverletzungen überholt und war der Hauptgrund dafür, dass Unternehmen im vergangenen Jahr eine Cyber-Versicherung in der DACH-Region abgeschlossen haben. Den Experten zur Folge, haben deutsche Unternehmen sowie deren ausländische Töchterfirmen Schäden von über 190 Millionen Euro seit 2014 gemeldet.

Organsierte Banden wählen ihre Opfer aus

Derartige Betrügereien werden oft von hochgradig organisierten Gruppen von Kriminellen begangen, die ein bestimmtes Unternehmen oder eine Person oder Gruppe von Personen auswählen und den Angriff auf sie ausrichten. Sie versuchen diese Personen dazu zu bringen, eine unbefugte Tätigkeit wie zum Beispiel eine Geldüberweisung auf ein ausländisches Konto durchzuführen.

Vor zwei Jahren wurde vom BKA veröffentlicht, dass ein Cyberkrimineller als angeblicher persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt solche Anrufe tätigte. Er handelte angeblich im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin und gab sich als Uwe Becker aus. Der Kriminelle rief bundesweit Geschäftsführer an und forderte die Unternehmen zu einer Spende für den Freikauf deutscher Geiseln auf. Dem Betrüger zufolge fehlten der Bundesregierung noch etwa 40 Millionen Euro.

Social Engineering als Einfallstor

Diese Art von Social Engineering wird Spear-Phishing genannt und 95 Prozent der Angriffe auf Unternehmen sind das Ergebnis eines erfolgreichen Spear-Phishings. In diesem Fall richten sich Betrüger an Nicht-Muttersprachler, die in ausländischen Tochtergesellschaften des Unternehmens beschäftigt sind. Dadurch stellen sie sicher, dass die Wahrscheinlichkeit, dass diese Mitarbeiter den Betrug erkennen geringer ausfällt.

Dies bedeutet auch, dass der betreffende Mitarbeiter mit dem leitenden Angestellten, der eigentlich der Betrüger ist, wenig oder niemals zusammengearbeitet hat. Ein Fake-President-Betrug erfordert in der Regel relativ viel strategische Planung bzw. zeitintensive Vorbereitung: Online-Verhaltensweisen bzw. die Aktivität des Opfers beobachten, um private Informationen über ihn zu sammeln, eine überzeugende Phishing-Kampagne und einen Plan zur Ausführung aufsetzen usw. Der Angriff beginnt oft als Spear-Phishing, aber letztendlich folgen in den meisten Fällen anhaltende Anrufe – der sogenannte Vishing-Angriff, wodurch der Mitarbeiter noch stärker unter Druck gesetzt wird.

 Kriminelle sind innovativ und sie ändern ständig ihre Techniken

Mitarbeiter müssen diese kennenlernen und ihr Verhalten entsprechend anpassen. Es reicht nicht mehr aus bei Phishing-E-Mails nach Fehlern in der Rechtschreibung, Grammatik und Interpunktion zu suchen. Mitarbeiter benötigen ein Training nach dem New School Security Awareness-Training, das ihnen spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe lehrt.

Außerdem sollte es den Trainern die Möglichkeit geben, die Fortschritte der Mitarbeiter bei der Erkennung zu verfolgen und zu messen. Bei gefälschten Telefonanrufen sollten sich Mitarbeiter beispielsweise die Nummer merken, die Antwort einfach verweigern, das Gespräch so schnell wie möglich zu beenden oder die Information mit einem anderen leitenden Angestellten zuerst verifizieren, bevor sie das Gespräch weiterführen. Auf diese Art und Weise halten sie Schäden von ihrem Unternehmen fern.

 Autor: Jelle Wieringa isturity Awareness Advocate bei KnowBe4.

„Hacker“ im Browser isolieren: Drei Schritte zum sicheren Surfen in Unternehmen

961252

961252

Ob Katzenvideos, Facebook, Webmail, Online-Recherchen oder Businessanwendungen: Mitarbeiter benutzen Browser für eine endlose Zahl an Tätigkeiten, mögen diese nun mit der Arbeit zu tun haben oder nicht. Unternehmen müssen schlichtweg damit rechnen, dass ein Kollege auch einmal unbedacht auf bösartige oder manipulierte Inhalte trifft oder unbedacht klickt. Das stellt nicht einmal ein Problem dar, wenn die Infrastruktur dafür richtig aufgebaut ist. Doch wenn diese bösartigen Inhalte tatsächlich auf dem Endgerät ausgeführt werden, kann der Schaden immens sein und den Angreifern steht der Weg ins Netzwerk offen.

Zurecht vertrauen nur wenige Administratoren in die inhärente Sicherheit von Webbrowsern und den dazugehörigen Plug-Ins. Gleichzeitig verlangen die Endbenutzer Zugang zu einer Vielzahl von internen und externen Webressourcen und lieben die Bequemlichkeit der kleinen Zusatzprogramme im Browser.

Den Zugang zu diesem Universum an Inhalten einzuschränken, ist in vielen Fällen unrealistisch, aber ein besonderer Schutz ist ratsam. Zu dem Personenkreis, bei dem er angesichts der heutigen Bedrohungslandschaft dringend geboten ist, gehören Vorstände und Mitarbeiter der Personal- oder Finanzabteilung. Zu den besonders schutzbedürftigen Einsatzszenarien zählen die Verwendung von Legacy Applications, sowie die Nutzung von nicht vertrauenswürdigen Online-Quellen und Webseiten. Unternehmen, die über die Sicherheit ihrer Browser besorgt sind, können etwas tun.

Die simple Grundidee ist es, den Browser zu virtualisieren, komplett vom Enduser-System zu entkoppeln und die isolierte Umgebung mit den neuesten Möglichkeiten zur Absicherung virtueller Systeme zu schützen. Selbst wenn ein Angriff im ersten Schritt Erfolg haben sollte oder eine Malware Fuß fassen konnte – sie kann aus ihrem Käfig nicht entkommen und keinen Schaden anrichten.

Warum sind Browser unsicher?

Doch zunächst zur Frage warum Browser eigentlich so unsicher sind. Könnte man sie nicht einfach sicher gestalten? Das Problem besteht darin, dass Webbrowser so konzipiert sind, dass sie sehr heterogenen Rich Content herunterladen und einiges davon lokal ausführen, um Webseiten und Inhalte wiederzugeben.

Diese Ausführung von Inhalten stellt ein Risiko dar. Denn Angreifer nutzen Schwachstellen in Browsern und der extrem großen Vielfalt an gängigen Plug-Ins aus. Dies kann zur Kompromittierung des Endgeräts und zur Installation von Ransomware oder anderer Malware führen. Hacker können die benachbarte Infrastruktur im Netzwerk angreifen und ausspionieren. Zum Beispiel nutzen APTs (Advanced Persistent Threats) bevorzugt Browser als Einfallstor, um Organisationen zu infizieren. Dies geschieht oft über Schwachstellen in Plug-Ins wie Adobe Flash, Adobe Reader oder Java.

Schutz durch Endpoint Security und Secure Web Gateways

Die meisten Unternehmen setzen zum Schutz vor Browser-basierten Attacken Lösungen wie Endpoint Anti-Malware und Secure Web Gateways (SWG) ein. Sie bleiben ein notwendiger Bestandteil der Sicherheitsinfrastruktur. Heutige Anti-Malware sucht nach bekannter und unbekannter Malware, überwacht Prozesse, nutzt zahlreiche weitere Sicherheitsmechanismen wie Machine Learning und wehrt die große Masse der Angriffe ab.

Doch selbst die besten Lösungen können nicht verhindern, dass neue, ausgefeilte Angriffswege, manchmal durch die Ritzen gleiten. Ein Beispiel dafür ist die scheinbar legitime Ausführung eines manipulierten Programms nach einem Identitätsdiebstahl.

Ebenso ist die Verwendung eines Secure Web Gateway, welches das Surfen auf bekanntermaßen gutartige Webressourcen beschränkt, keine vollständige Lösung. Die Verwaltung der Liste der legitimen Ressourcen ist selbst in kleinen Unternehmen lästig. Denn die Ressourcen, die die Endnutzer benötigen, ist lang und dynamisch. Darüber hinaus können selbst vertrauenswürdige Websites auf verschiedene Weise kompromittiert werden, wodurch eine gute Ressource im Nu bösartig wird. Selbst die Verwendung eines hybriden Ansatzes, wie URL-Reputation, bleibt per Definition immer reaktiv.

Schutz durch Browser-Virtualisierung

Ein notwendiger zweiter Schritt ist daher die Isolierung von Browsern (Browser Isolation). Das heißt, man wendet auf die Browser das Prinzip der Demilitarisierten Zone (DMZ) an: Administratoren haben seit langem Rechenzentren so konzipiert, dass sie webbasierte Ressourcen, wie beispielsweise Webserver, in der DMZ isolieren. Sensiblere Ressourcen, wie Anwendungs- und Datenbankserver, werden in Teilen des Netzwerks gehostet, die von außen nicht direkt zugänglich sind.

Das gleiche Konzept nutzen viele Unternehmen für Webbrowser: Da Browser nach außen gerichtete Ressourcen sind, sollten sie von den Geräten der Endnutzer isoliert werden. Anwendungsvirtualisierung ist eine großartige Möglichkeit, das Epizentrum der Browseraktivitäten von Endgeräten auf virtualisierte Server zu verlagern. Durch die Isolierung des Endanwender-Browsers vom Web wird sichergestellt, dass Angreifer über den Browser keinen Fuß in die Infrastruktur bekommen können und die Ausführungsumgebung des virtualisierten Browsers nicht verlassen können.

Den virtualisierten Browser vom Hypervisor aus schützen

Browser Isolation schottet Endgeräte der Anwender von den Gefahren im Web vollständig ab. (Bildquelle: Bitdefender)

Browser Isolation schottet Endgeräte der Anwender von den Gefahren im Web vollständig ab. (Bildquelle: Bitdefender)

Die Isolierung von Browsern ist ein großartiger zweiter Schritt für eine höhere Sicherheit. Doch genauso wie Administratoren Systeme in der DMZ nicht ungeschützt lassen, müssen auch die Systeme, auf denen virtualisierte Browser laufen, sowie die Browser selbst geschützt werden. Neue Ansätze nutzen hier die einzigartige Chance, virtuelle Instanzen vom Hypervisor aus zu sichern.

Hier geht es nicht mehr um die Suche nach guten oder schädlichen Elementen, wie bei anderen Sicherheitsmechanismen. Eine so geschützte Browser-Umgebung verteidigt gegen Angriffe, indem der Arbeitsspeicher des Servers, der den Browser virtualisiert zur Verfügung stellt, auf Angriffstechniken wie Buffer Overflow, Code Injection und Heap Spray hin beobachtet.

Dies sind die  Techniken, mit der viele Attacken beginnen und die mittels ausgefeilter Technologie direkt im Raw Memory erkannt und noch vor der Ausführung gestoppt werden. Weil die Lösung die virtuelle Maschine von außen schützt, kann der Angreifer sie nicht erkennen und nicht aushebeln. Ohne Client oder sonstige Ressourcen auf den geschützten Virtual Apps Servern erkennt dieser Sicherheitsansatz Angriffstechniken, die darauf abzielen, bekannte, unbekannte und neuartige Schwachstellen in Webbrowsern sowie den dazugehörenden Plug-Ins auszunutzen.

 Den Hacker ins Leere laufen lassen

Zusammengefasst: Webbrowser gehören zu den wichtigsten Einfallstoren für Malware und Hacker-Angriffe. Endpoint Security und Secure Web Gateways blocken viele Angriffswege ab, aber nicht alle. Browser Isolation sorgt dafür, dass die gesamte Browser-Aktivität in einer virtuellen Umgebung im Rechenzentrum stattfindet. Dort kann sie mit modernsten Mitteln geschützt werden, insbesondere mit Hypervisor Introspection (HVI).

Eine solche speziell gesicherte Browser Isolation bietet sich an für das Top-Management, Finanzwesen und Personalwesen sowie risikoreiche Ressourcen und veraltete Browser, die zur Unterstützung von Legacy-Anwendungen im Einsatz bleiben müssen. Wenn Mitarbeiter sich dann wieder einmal zu einem Klick auf ein süßes Katzenvideo verleiten lassen, ist das nur noch ein Fall für das Controlling – aber keiner mehr für die IT-Security. Denn der Hacker läuft ins Leere: Da wo er sich befindet, ist nichts zu holen.

Autor: Herbert Mayer ist Sales Engineer bei Bitdefender. Bitdefender ist ein Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. 

Lauschangriff bei Spielekonsolen: Sprachauswertung gabs hier schon lange…

Nicht erst mit der Einführung von Cortana hat Microsoft damit begonnen, Mitschnitte des eigenen Sprachassistenten durch Mitarbeiter anzuhören. Diese Praxis gibt es bereits seit sechs Jahren, angefangen hat es mit der Sprachsteuerung Kinect in der Spielekonsole Xbox One. Ein Beitrag auf „Golem“. … mehr …

 

Cyber Security Report 2019: Risiken werden größer

Deloitte Eine Studie von Deloitte und dem Institut für Demoskopie Allensbach beleuchtet zum neunten Mal die Cyber-Risiken in Deutschland. Nach Einschätzung von Top-Entscheidern aus Politik und Wirtschaft haben die Gefahren erneut zugenommen: Erstmals wird  die Manipulation der öffentlichen Meinung durch Fake News als  höchstes Sicherheitsrisiko für die Bevölkerung eingestuft.

Die Sicherheitsbedrohung für Wirtschaft, Gesellschaft und Politik durch Cyberspace-Gefahren steigt von Jahr zu Jahr.

Besondere Risiken sieht der aktuelle Cyber Security Report vor allem in Bezug auf Fake News, Datenbetrug, -diebstahl und -missbrauch sowie durch Bedrohungen für kritische öffentliche Infrastrukturen und für die Privatsphäre des Einzelnen durch die zunehmende Vernetzung der Haustechnik. Die Studie zeigt Nachholbedarf bei der Zusammenarbeit zwischen Wirtschaft und Staat sowie bei der Entwicklung und dem Einsatz von deutschen bzw. europäischen Lösungen für digitale Schlüsseltechnologien wie 5G.

Manipulation der öffentlichen Meinung als größte Gefahr

Einer der tiefgreifenden gesellschaftlichen Umbrüche des letzten Jahrzehnts ist der Siegeszug der sozialen Medien mit seinen neuen Kommunikationswegen, die jedoch auch Gefahren bergen. Erstmals belegt die Manipulation der öffentlichen Meinung – etwa durch Fake News – den Spitzenplatz des Risiko-Rankings für die Bevölkerung.

Tendenziell werden die Cyber-Risiken für die Menschen in Deutschland von den Entscheidern aus den Unternehmen höher eingeschätzt als von Abgeordneten, zum Beispiel Datenbetrug im Internet (Unternehmensvertreter: 73 Prozent, Politiker: 58 Prozent) oder Eingriff in die Privatsphäre von Bürgern durch vernetzte Haustechnik (55 Prozent/43 Prozent).

Interessante Unterschiede in der Einschätzung der befragten Politiker ergeben sich darüber hinaus beim Thema „Soziale Medien“: Abgeordnete sehen im zunehmenden Einfluss auf die politische Meinungsbildung grundsätzlich eher ein Risiko für die Demokratie in Deutschland als eine Chance. Rund zwei Drittel der befragten Vertreter der traditionellen Volksparteien teilen diese Einschätzung. Für die jeweils eigene Partei nehmen Politiker soziale Medien dagegen überwiegend eher als Chance denn als Risiko wahr.

Prof. Dr. Renate Köcher, Geschäftsführerin des Instituts für Demoskopie Allensbach: „Soziale Medien verändern das Informationsverhalten und den politischen Diskurs gravierend. Die Tragweite dieser Entwicklung wird bisher nicht annähernd erkannt. Die Besorgnis vieler Abgeordneter ist durchaus verständlich.“

Immer häufiger Cyber-Angriffe auf Unternehmen

Auch Unternehmensvertreter wurden zu ihren Erfahrungen mit Internetgefahren befragt. 85 Prozent aller mittleren und großen Unternehmen in Deutschland sehen sich Cyber-Angriffen ausgesetzt. 28 Prozent der Firmen berichten von täglichen Angriffen, bei weiteren 19 Prozent kommt das mindestens einmal wöchentlich vor. Besonders häufig haben große Unternehmen mit Cyber-Attacken zu tun – Firmen mit 1.000 und mehr Mitarbeitern zu 40 Prozent täglich. Die Frequenz der Angriffe hat im Vergleich zu den Vorjahren weiter zugenommen. Bei rund jedem fünften Unternehmen haben solche Angriffe bereits spürbare – in einigen Fällen sogar massive – Schäden verursacht.

Neben Angriffen auf die IT-Systeme erwachsen Unternehmen auch aus den sozialen Netzwerken diverse Bedrohungen. Bei rund einem Viertel gab es bereits Versuche, den Ruf der Firma durch gezielte Falschinformationen im Internet zu schädigen. Dennoch verfolgt nur rund die Hälfte systematisch, was in sozialen Netzwerken über ihre Organisation geäußert wird.

Mängel bei systematischer Gefahrenabwehr

In gut zwei Dritteln der mittleren und großen Unternehmen hat das Thema Cyber Security in den letzten Jahren deutlich, in einem weiteren Viertel leicht an Bedeutung gewonnen. Dennoch räumt gut ein Viertel ein, dass es bei ihnen zur Identifikation und Bewertung von Cyber-Risiken keine definierten Prozesse gibt. Bei 37 Prozent der Unternehmen wird die Führungsebene ausschließlich anlassbezogen über den Stand der Cyber-Sicherheit im eigenen Unternehmen informiert, in nur rund einem Viertel passiert das fortlaufend.

„Die Unternehmen ergreifen viele Maßnahmen zur Abwehr der Gefährdungen aus dem Cyber-Raum“, sagt Peter Wirnsperger, Partner bei Deloitte und Leiter Cyber Risk. „Diese müssen aber viel systematischer in das Risikomanagement integriert werden.“ Rund die Hälfte der Führungskräfte hält die Widerstandsfähigkeit des eigenen Unternehmens im Falle eines erfolgreichen Angriffs für ausreichend. 42 Prozent sehen ihre Firma nur teilweise darauf vorbereitet, die Folgen einzudämmen und die Schäden zu minimieren.

Sicherheit muss mit zunehmender Industriedigitalisierung Schritt halten

Industrie 4.0, also die umfassende Digitalisierung und Vernetzung der industriellen Produktion, gilt als einer der zentralen Treiber für die Zukunftsfähigkeit des Standorts Deutschland. 78 Prozent der befragten Wirtschaftsvertreter aus dem produzierenden Gewerbe erachten das Thema als wichtig bis sehr wichtig für ihr Unternehmen. Die Anzahl der Führungskräfte in der Wirtschaft, die sich bereits intensiv mit dem Thema auseinandergesetzt haben, stieg gegenüber dem Vorjahr. Jedoch berichten lediglich 28 Prozent der Befragten, die sich mit dem Thema schon intensiver beschäftigt haben, dass die Vernetzung der Produktionsabläufe über den 5G-Standard bei ihnen im Unternehmen wesentliche Veränderungen für die Cyber-Security-Strategie nach sich zieht bzw. nach sich ziehen wird.

Mehr Austausch zwischen Staat und Wirtschaft gefordert

Ein positives Ergebnis der Studie ist die von Wirtschaftsführern und Abgeordneten geteilte Auffassung, dass die Politik zur Bekämpfung von Cyber-Risiken in Unternehmen beitragen kann (Unternehmensvertreter: 90 Prozent; Politiker: 100 Prozent). Voraussetzung dafür ist ein stärkerer Informationsaustausch, denn bisher sind nur neun Prozent der Top-Manager mit staatlichen Einrichtungen im Bereich der Cyber-Sicherheit vertraut, und nur rund die Hälfte der Abgeordneten fühlt sich gut oder sehr gut über die Bedürfnisse der Wirtschaft auf dem Gebiet informiert. Über 80 Prozent sowohl der Unternehmensvertreter als auch der Abgeordneten plädieren daher für einen verstärkten Austausch.

Breite Unterstützung für aktive Gefahrenabwehr durch BSI

Eine mögliche Ausweitung der Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) von defensivem Schutz und Beratung hin zu einem aktiven Eingreifen im Falle von Angriffen und Gefahren trifft auf breite Zustimmung unter den Wirtschaftsvertretern. Über drei Viertel sprechen sich dafür, hingegen nur 15 Prozent ausdrücklich dagegen aus.

Dieser Mehrheit schließt sich Katrin Rohmann, Deloitte-Partner und Government & Public Services Industry Leader, an: „Wirtschaft und Politik müssen bei der Cyber-Sicherheit eng zusammenwirken. Hierfür gibt es gute Ansätze und eine hohe Bereitschaft, diese stetig entsprechend der zunehmenden Komplexität der Risiken fortzuentwickeln.“

Sicher und unabhängig durch eigene Schlüsseltechnologien

89 Prozent der Abgeordneten und fast drei Viertel der Wirtschaftslenker sind der Auffassung, dass wichtige Schlüsseltechnologien für die Vernetzung und Digitalisierung von deutschen oder europäischen Unternehmen hergestellt werden sollten. Deutschland müsse sich unabhängig von anderen Ländern machen, um ausreichende Cyber-Sicherheit zu gewährleisten. Allerdings sehen beim Aufbau des 5G-Netzes nur sieben Prozent der Abgeordneten und sechs Prozent der Wirtschaftsentscheider derzeit ernsthafte Alternativen zu Technologien aus den USA oder China.

Über den Cyber Security Report: Zum neunten Mal in Folge hat das Institut für Demoskopie Allensbach für den Cyber Security Report Hunderte von Führungskräften aus großen und mittleren Unternehmen sowie Abgeordnete des Bundestags, der Landtage und des Europaparlaments zu Cyber-Risiken und IT-Sicherheit befragt. Insgesamt wurden zwischen dem 26. Juni und dem 8. August 2019 für die von Deloitte in Auftrag gegebene Studie über 500 telefonische Interviews geführt.

 

Tagsüber Spionage, abends Banküberfall

Die Welt der Hacker ist unübersichtlich. Es gibt White-Hat-Hacker, die nach ethischen Maßstäben agieren und nur mit Erlaubnis hacken. Die Black Hats stehen dagegen auf der anderen Seite und hacken für ihren finanziellen oder anderweitig persönlichen Vorteil. Grey Hats verorten sich dazwischen und sind moralisch flexibel. Die meisten Hacktivisten, die für politische Ziele kämpfen, fallen wohl in diese Kategorie. Ein Beitrag in der „Süddeutschen“. … mehr

 

Hacker auf Walfang: Führungskräfte im Visier

WalfischBei Whaling-Attacken wählen Cyberkriminelle ihre Opfer sorgfältig aufgrund deren Autorität und Befugnisse innerhalb eines Unternehmens aus. Im Visier stehen speziell hochrangige Führungskräfte wie der CEO, CFO oder andere leitende Angestellte, die vollständigen Zugriff auf sensible Daten haben.

Ziel ist es, Führungskräfte dazu zu bringen, Unternehmensinformationen preiszugeben, die für Kriminelle besonders lukrativ sind: Hierzu zählen wertvolles geistiges Eigentum, hochvertrauliche Daten zu Geschäftsprozessen, Finanzdaten, Schlüsselkunden und -kontakte oder E-Mails mit kompromittierenden Inhalten – also alles, was sich gut an die Konkurrenz verkaufen lässt oder sich für Erpressungsversuche eignet.

Whaling: Die Vorgehensweise der Angreifer

Beim klassischen Phishing versenden Cyberkriminelle massenhaft betrügerische E-Mails an beliebige Opfer, in der Hoffnung, dass ein kleiner Prozentsatz erfolgreich sein wird. Als eine Form des Spear-Phishings sind Whaling-Angriffe wesentlich schwieriger zu erkennen, da sie nur an sehr ausgewählte, hochrangige Ziele innerhalb eines Unternehmens gesendet und sehr stark personalisiert werden.

Aufgrund der hohen Renditen, die Cyberkriminelle mit Whaling erzielen können, investieren sie wesentlich mehr Zeit und Mühe in die Vorabrecherche, um Informationen über ihre Zielpersonen zu sammeln und die anschließende Kommunikation so legitim wie möglich erscheinen zu lassen. Unternehmensinformationen, Jobdetails, Namen von wichtigen Mitarbeitern und Geschäftspartnern sowie persönliche Vorlieben und Hobbys der Zielpersonen werden häufig aus sozialen Netzwerken wie LinkedIn, Xing, Twitter und Facebook abgegriffen.

Anschließend nutzen Angreifer beispielsweise gefälschte E-Mail-Adressen realer Unternehmen, Geschäftspartner, Banken oder Regierungsbehörden, inklusive Abbinder mit Firmenlogo und Kontaktdetails, um Angriffe so aussehen zu lassen, als würden sie von einem vertrauenswürdigen Absender stammen.

Dadurch versuchen sie, ihre Opfer dazu zu bringen, sensible Daten preiszugeben oder eine gefälschte Website zu besuchen. Diese ähnelt der eines legitimen Unternehmens und fragt nach vertraulichen Informationen, etwa Zahlungs- oder Account-Daten. Viele Whaling-Angriffe kommen auch ohne schädliche Links oder Anhänge aus und verlassen sich ganz auf Social Engineering. Dadurch entgehen sie häufig der Entdeckung durch traditionelle Sicherheitslösungen.

 Maßnahmen zur Abwehr von Whaling-Angriffen

Es gibt eine Reihe von Maßnahmen, die Unternehmen ergreifen können, um die Wahrscheinlichkeit zu verringern, dass Whaling-Angriffe für Kriminelle zum Erfolg führen. Hierzu zählen:

  • Schulung und Sicherheitstrainings für Führungskräfte: Bei allen Social Engineering-Angriffen ist und bleibt eine der wichtigsten Verteidigungslinien der Mensch. Deshalb sollten Führungskräfte, Finanzteams und anderes Personal mit Zugriff auf besonders sensible Daten umfassend geschult werden. Unternehmen sollten diese Mitarbeiter über die möglichen Folgen eines Angriffs aufklären sowie über Erkennungsmerkmale wie gefälschte Absendernamen, angeblich dringende Anfragen, bösartige Anhänge und gefälschte Hyperlinks. Zudem ist es empfehlenswert, in regelmäßigen Abständen Sicherheitstrainings mit simulierten Whaling-Angriffen durchzuführen, um Mitarbeiter immer wieder aufs Neue für diese Art Angriffe zu sensibilisieren.
  • Informationssparsamkeit in Social Media-Profilen: Führungskräfte sollten so wenig persönliche Informationen wie möglich in öffentlichen Profilen von Berufs- und sozialen Netzwerken preisgeben. Geburtstage, Freunde, Adressen sowie persönliche Interessen und Hobbys können alle für einen Angriff genutzt werden.
  • Markierung externer E-Mails: Viele Whaling-E-Mails sollen so aussehen, als kämen sie von einem hochrangigen Mitarbeiter innerhalb des Unternehmens. Eine gute Möglichkeit, diese Art Angriffe zu erkennen, besteht darin, E-Mails, die von außerhalb des Unternehmensnetzwerks gesendet werden, automatisch markieren zu lassen.
  • Etablierung eines Verifizierungsprozesses: Erhält ein Mitarbeiter per E-Mail die Anforderung von sensiblen Informationen oder die Bitte um eine Überweisung, und wird dieser Vorgang normalerweise nicht per E-Mail übermittelt, ist der sicherste Weg, die Anfrage mit dem angegebenen Absender über einen anderen Kanal zu überprüfen, beispielsweise telefonisch. Die Etablierung von klaren Richtlinien und Verifizierungsverfahren, wie Mitarbeiter mit diesen Anfragen umgehen sollen, ist eine wirksame Maßnahme, um Whaling-Attacken abzuwehren.
  • Datensicherheit implementieren: Datenzentrierte Sicherheitslösungen wie Data Loss Prevention bieten eine kritische letzte Verteidigungslinie gegen Whaling und andere Formen von Social Engineering-Angriffen. Selbst wenn ein Mitarbeiter dazu verleitet wird, sensible Daten an einen Angreifer zu senden, blockieren diese Technologien eine Daten-Exfiltration.

Es ist kaum zu verhindern, dass Führungskräfte durch Angreifer ins Visier genommen werden. Doch mit einem mehrschichtigen Ansatz aus Schulungen, Sicherheitstrainings, Verhaltensrichtlinien sowie Technologien können die Risiken einer Whaling-Attacke deutlich reduziert werden.

Autor: Christoph M. Kumpa ist  Director DACH & EE bei Digital Guardian. das Unternehmen bietet branchenweit eine bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden.  

Facebook, Google und der Datenschutz: So verwanzt ist das Netz

Das „Modern Fit Freizeithemd mit Allover Muster“ ist auf 9,99 Euro heruntergesetzt, die „Slim Fit Chinoshorts mit Stretch-Anteil“ auf 49,99. Das können Besucher des Online-Mode-Händlers „Fashion ID“ anderen mit zwei Klicks mitteilen. Neben jedem Produkt auf der Webseite ist ein kleines „f“ verbaut. Wer daraufklickt, verbreitet Foto und Link des Artikels auf Facebook weiter. Dieser „Share“-Button ist eine entschärfte Variante des „Like“-Buttons, der anderen auf Facebook anzeigt, dass einem eine Webseite, ein Video oder ein Produkt gefällt. Ein Bericht in der Süddeutschen“. … mehr

 

„Like Button“: EuGH nimmt Websites in die Pflicht

Webseiten mit einem integrierten „Like Button“ von Facebook, der die IP-Adresse von Usern überträgt, benötigen vorab eine Einwilligung des Nutzers. Zu diesem Urteil kommt der Europäische Gerichtshof (EuGH)  . Die Richter nehmen mit ihrer heute, Montag, getroffenen Entscheidung folglich die Betreiber von Webseiten mit in die Pflicht, wobei es hierbei jedoch lediglich um die Erhebung sowie Übertragung der Daten geht. Denn die folgende Verarbeitung dieser Infos fällt alleinig in den Verantwortungsbereich von Facebook. Auch andere ähnlich funktionierende Plug-ins sind von der EuGH-Entscheidung betroffen. Ein Bericht in „Pressetext“. … mehr …