Archiv der Kategorie: Internet-Bedrohungen

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Umfassend geschützt im Home Office

von Martin Rösler, Trend Micro Research

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Als Folge meldet sich eine Vielzahl von Mitarbeitern nun remote an Unternehmensnetzwerken und Cloud-basierten Anwendungen an, und damit vergrößert sich gerade für Unternehmen, die eine solche Regelung erstmalig einführen, auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle. Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen.

Checkliste für Unternehmen

  • Aufsetzen einer Zweifaktor-Authentifizierung: Viele Websites und Services implementieren Zweifaktor-Authentifizierung (2FA). Unternehmen müssen sicherstellen, dass sich die Sicherheit von Logins nicht allein auf Passwörter beschränkt, sondern beispielsweise auch mobilen Authentifizierungs-Apps oder Biometrie genutzt werden.
  • Vorkonfigurierte Home-Office-Szenarien: Organisationen müssen ihre Sicherheitsstrategie überprüfen und klare Richtlinien für das Arbeiten von zu Hause aufsetzen. Es sollte Intrusion Prevention und ein Schutz vor Datendiebstahl vorhanden sein, am besten über IT-bewilligte Laptops.
  • Regelmäßiges Backup der Daten: Das Backup sollte der 3-2-1-Regel folgen: d.h. mindestens drei Kopien der Daten in zwei unterschiedlichen Speicherformaten, wobei mindestens eine Kopie Off-Site liegen muss (etwa auf externen SSD- oder HD-Laufwerken).
  • Ausreichend VPN-Lizenzen bereitstellen: Die Zunahme mobiler Mitarbeiter erfordert auch mehr Lizenzen für VPNs sowie ausreichend Netzwerk-Bandbreite für den Zugang.
  • Nutzung von VPNs limitieren: Arbeitgeber müssen den Zugang zu VPNs regeln und periodische Neuanmeldung erforderlich machen, etwa alle 12 Stunden oder jeden Tag.

Sicherheitsteams können sich bezüglich Unternehmensrichtlinien auch über den Guide des SANS Institutes informieren.

Checkliste für Mitarbeiter

Nicht nur das Unternehmen allein trägt die Verantwortung für das sichere Arbeiten von zu Hause. Auch die Mitarbeiter müssen einige Regeln beachten:

  • Nutzen eines Unternehmens-Laptops, wenn möglich: Den eigenen persönlichen Laptop für das Home Office zu nutzen, kann gefährlich sein, weil dieser unter Umständen weniger Sicherheitsmechanismen umfasst als die Firmen-Hardware. Den Unternehmens-Laptop sollte wiederum ausschließlich der Mitarbeiter nutzen, kein anderes Familienmitglied darf darauf zugreifen können. Muss ein Mitarbeiter dennoch den eigenen, persönlichen Computer für sein Home Office einsetzen, ist das Installieren einer vom Arbeitgeber gelieferten Sicherheitslösung unabdingbar. Auch alle vom Unternehmen geforderten Schutzmaßnahmen müssen getroffen werden.
  • Verwenden von VPNs, die das Unternehmen zur Verfügung stellt: Das bedeutet im Umkehrschluss das Vermeiden von kostenlosen, öffentlichen WLANs. Mobile Mitarbeiter sollten die dedizierten Unternehmens-VPN-Server für Netzwerkverbindungen von zu Hause nutzen — doch lediglich vom Arbeits-Laptop aus. Dennoch, Vorsicht vor Phishing-Angriffen, die VPN-bezogene Kontozugangsdaten stehlen wollen.
  • Netzwerke aufteilen: „Home Worker“ müssen ein Gast-Netzwerk nutzen, um den Unternehmens-Laptop oder -Desktop zu isolieren. Ist ein Router oder Switch mit Virtual Local Area Network (VLAN)-Funktionalität vorhanden, sollte dieses aktiviert werden und ein VLAN lediglich für die Office-Arbeit zugeteilt sein.
  • Backup-Lösung auch zu Hause einsetzen: Backup-Optionen mit Hardware wie USB-Laufwerke sind sehr nützlich, wenn etwas schiefläuft (Verbindungsverlust oder Server-Absturz). macOS-Nutzer können Time Machine für Backups aktivieren.
  • Vorsicht vor Online-Betrug: Kriminelle nutzen die aktuelle Situation und die Angst vor COVID-19 weidlich für ihre betrügerischen Aktivitäten Die Angriffe kommen über Email, bösartige Domänen, gefälschte Apps oder soziale Medien. Nutzer sollten auf verräterische Anzeichen von Phishing-Betrug achten: unbekannter Absender, eklatante Grammatikfehler, nicht übereinstimmende URLs und seltsam anmutende Geschichten. Keine identifizierbaren Informationen wie persönliche Daten und Bankkontoinformationen angeben! Stattdessen sollte das Unternehmen sofort benachrichtigt werden, wenn jemand solche Versuche feststellt.

Basissicherheit für das Netzwerk zu Hause

  • Sichern des Gateways: Der Router ist das Gateway zu allen mit dem Internet verbundenen Geräten im Home-Netzwerk. Angreifer sind dafür bekannt, dass sie Heimrouter mit Standard-Anmeldeinformationen kompromittieren. Wichtig! das Passwort für den Router regelmäßig ändern, da es möglicherweise vorher mit anderen Benutzern geteilt wurde. Empfohlen werden Passwörter, die nicht anfällig für „Wörterbuch“-Angriffe sind, d.h. solche mit mehr als 12 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Ebenso ist es wichtig, die Firmware des Routers immer auf die neueste Version zu aktualisieren. Router, die von Internetdienstanbietern (ISPs) kommen, verfügen in der Regel über automatische Aktualisierungen, doch zusätzliche Sorgfalt lässt sich über die Web-Konsole des Routers üben, die über seine IP-Adresse zugänglich ist.
  • Nutzerkonten auf dem Router auf zwei reduzieren: Ein Superuser-Konto sollte lediglich für Setup und Konfiguration (lokales Konto statt remote) dienen, und ein persönliches Konto erlaubt die Verwaltung des Routers (lokales Konto statt remote). Technisch Versierte könnten auch einen Port Scan auf der IP-Adresse des Routers durchführen, oder falls dies nicht möglich ist, die eigene IP-Adresse auf Shodan überprüfen. Viele Router erlauben auch das automatische Hinzufügen neuer Geräte, allerdings sollte diese Funktion deaktiviert und unbekannte angeschlossene Geräte aus der Router-Konfiguration entfernt werden. Als Zusatzsicherheit lässt sich auch eine Backup-Internetverbindung über einen Router in Betracht ziehen, der LTE unterstützt, für den Fall, dass die normale ISP-Leitung ausfällt. Die Tethering- oder persönliche Hotspot-Funktion des Smartphones kann ebenfalls als Verbindungssicherung dienen.
  • Fortgeschrittene Nutzer können mit einem Proxy arbeiten: Gibt es im Home Office einen Raspberry Pi- oder einen alten Linux-Rechner, so ließe sich dieser als PI-„Enklave“ nutzen, um die Geräte vor Adware oder sonstigen unerwünschten Inhalten zu schützen. Alternativ ließen sich Network-Attached Storage (NAS)-Systeme konfigurieren, um solche Inhalte fernzuhalten.
  • Software immer auf aktuellem Stand halten: Jegliche Software im Betrieb muss durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden, um die Gefahr einer Malware-Infizierung möglichst gering zu halten.

Weitere Empfehlungen für die Sicherheit bei virtuellen Meetings gibt Udo Schneider, Security Evangelist in „Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer“.

Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer

von Udo Schneider, Security Evangelist bei Trend Micro

Zusammenkünfte und physischen Kontakt vermeiden, so genanntes „Social Distancing“, ist das Gebot der Stunde in Zeiten der Coronavirus-Pandemie. Eine Vielzahl von Firmen hat ihren Mitarbeitern mittlerweile Home Office verordnet. Aber für etliche Unternehmen ist diese Regelung ungewohnt und sie stehen gleichzeitig unter dem Zwang, ihre Geschäftsabläufe möglichst schnell dieser neuartigen digitalen Situation anzupassen. Das betrifft unter anderem natürlich auch die Art, wie geschäftliche Kommunikation stattfindet. Virtuelle Meetings sind jetzt eine der besten und viel genutzten Möglichkeiten, mit Kollegen, Teams, vielleicht sogar Kunden und Partnern geschäftliche Abläufe zu besprechen, zu planen oder Informationen auszutauschen. Während Nutzern mittlerweile die Notwendigkeit von Sicherheitsmaßnahmen für ihre Online-Interaktionen größtenteils bewusst ist, wird der Schutz von virtuellen Meetings häufig noch außer Acht gelassen. Best Practices beim Umgang mit Videokonferenzen sollten aber neben den technischen Sicherheitsmaßnahmen stets beachtet werden.

Der prominenteste Fall einer Sicherheitspanne dieser Art war die Videokonferenz des Bayerischen Innenministeriums zur Ausbreitung des Coronavirus, die fast öffentlich mitverfolgt werden konnte und für entsprechende Schlagzeilen sorgte.

Die Gefahr, die von der Nutzung eines Online-Kommunikationstools ausgeht, ist im privaten Bereich wahrscheinlich nicht sehr hoch. Im geschäftlichen Umfeld jedoch müssen Kommunikationstools in puncto Sicherheit ganz andere Anforderungen erfüllen, geht es doch um Vertraulichkeit und den Austausch von Geschäftsdaten bzw. -infos. Für viele Unternehmen und Anwender ist diese Art der Kommunikation ungewohnt, und sie sind darauf nicht vorbereitet. Umso wichtiger ist es, das Bewusstsein für die Sicherheit bei Videokonferenzen zu schärfen und auch Best Practices beim Umgang damit zu beachten.

Datenschutz bei Videokonferenzen

In erster Linie müssen sich Unternehmen darüber bewusst sein, dass sie die Verantwortung für die Integrität und Vertraulichkeit der geschäftlichen Daten auch beim Video-Conferencing tragen. Das bedeutet, dass ein virtuelles Meeting mithilfe eines Tools erfolgen sollte, das auf den professionellen Einsatz zugeschnitten ist und Möglichkeiten für die Absicherung der Konferenzen bietet. Dies ist bei Tools, wie Google Hangout oder Facetime für den privaten Gebrauch nicht gegeben. Auch ist es gut möglich, dass es etwa versteckte Nutzungsbedingungen einiger Hersteller gibt, die das Weiterleiten von Daten erlaubt.

Erste Voraussetzung für die Sicherheit von virtuellen Meetings im geschäftlichen Bereich ist es also, dafür zu sorgen, einen entsprechenden Dienst für die Meetings aus dem Home Office zur Verfügung zu stellen. Die meisten dieser Dienste sind mit eingebauten Sicherheitsfunktionen ausgestattet, und viele Provider liefern Sicherheitsempfehlungen für ihre Plattformen und erklären auch ausdrücklich, keine Daten weiter zu geben.

Dennoch finden Böswillige Mittel und Wege, auch diese Plattformen zu missbrauchen, sei es durch infizierte Domänen oder Dateien, sei es, um die Meetings durch Trolle zu stören oder ihre Botschaften zu verbreiten. Jüngstes Beispiel für derartigen Missbrauch ist die Plattform Zoom als Ziel dieser Akteure.

Sicherheitsempfehlungen

Umso wichtiger ist es, dass gerade diejenigen, die eine Videokonferenz aufsetzen, bestimmte Regeln und Richtlinien beachten und durchsetzen:

  • Sicherheits-Policies: Unternehmen müssen genau festlegen, welche Sicherheitsregeln bei einem virtuellen Meeting befolgt werden müssen.
  • Wiederverwendung von Zugangscodes limitieren: Wird immer derselbe Code für eine Videokonferenz verwendet, so kennen wahrscheinlich mehr Leute den Code als dem Host lieb ist.
  • Keine statischen Konferenznummern: Das Ändern dieser Nummern erschwert das Auffinden der Konferenzräume.
  • Schutz über PINs oder Passwörter: Ist das Thema einer Konferenz besonders vertraulich oder werden dabei kritische Daten ausgetauscht, lassen sich die Meetings mit der Vergabe von PINS oder Passwörtern zusätzlich schützen, oder gar eine Mehrfaktor-Authentifizierung aufsetzen
  • Dashboard für das Monitoring der Teilnehmer: Über ein Dashboard kann der Host überprüfen, ob sich jemand einwählt, der nicht eingeladen ist.
  • Konferenz abschließen: Das bedeutet, dass der Host überprüft, ob alle Teilnehmer sich eingewählt haben, um dann den Zugang zu schließen.
  • Nicht benötigte Funktionen deaktivieren: Dazu gehören unter Umständen Chats oder das Teilen bestimmter Arten von Dateien oder auch die Recording-Funktion.

Doch nicht nur die virtuelle Konferenz selbst muss abgesichert sein, sondern auch die Geräte im Home Office und die Verbindung zur Konferenz müssen entsprechend geschützt sein. Dazu gehört eine sichere WLAN-Verbindung, Systeme, die auf aktuellem Stand sind und das Vorhandensein einer Antivirus-Lösung sowie regelmäßige Backups der Daten. Empfehlungen für einen adäquaten Schutz vor Bedrohungen sowohl für die bei der Heimarbeit eingesetzten Geräte als auch für das Heimnetzwerk und die genutzten Lösungen gibt Trend Micro im Blogbeitrag „Umfassend geschützt im Home Office“.

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.

Eine neue Ära

Die Analysten von Gartner gehen davon aus, dass der weltweite Markt für öffentliche Cloud-Services 2020 um beeindruckende 17% auf 266 Milliarden $ steigen wird. Die Vorteile der Cloud sind mittlerweile wohlbekannt: eine Verbindung aus IT-Effizienz und Flexibilität mit Kosteneinsparungen und Skalierbarkeit. Dadurch können so unterschiedliche Organisationen wie Versorgungsunternehmen, Einzelhändler und sogar Gesundheitsdienstleister Geschäftsprozesse optimieren und die Produktivität ihrer Mitarbeiter verbessern sowie innovative kundenorientierte Dienstleistungen anbieten, um das Wachstum zu fördern.

Unternehmenssysteme bestehen heutzutage aus einem komplexen, heterogenen Mix aus physischen Altservern und mehreren hybriden Cloud-Systemen. Um diese Komplexität zu bewältigen, setzen Unternehmen auf Container und Microservices, die eine bessere Integration hybrider Clouds und eine effizientere Entwicklung neuer Anwendungen ermöglichen sollen. Die für solche Projekte verantwortlichen DevOps-Teams arbeiten auf der Grundlage einer neuen Infrastructure-as-Code, wo alles softwaredefiniert ist – von den VMs und Containern, die schnell herkömmliche Server ersetzen, bis hin zu Netzwerken und Anwendungs-Stacks.

Es nimmt also nicht Wunder, dass der Markt für digitale Transformation in den nächsten fünf Jahren um 18% wachsen soll, und 2025 dann 924 Milliarden $ beträgt.

Neue Probleme

Mit dem radikalen Wechsel in der Bereitstellung von IT gehen zwei neue Gruppen von Risiken einher. Die Cloud Provider selbst haben zwar gute Sicherheitsteams, und ihre Datencenter werden nach den höchsten Sicherheits- und Betriebsstandards geführt, doch liegt die Sicherheit nicht allein in ihrer Verantwortung. Amazon Web Services (AWS) erklärt ausdrücklich, dass das Unternehmen sich um die Infrastruktur kümmert, auf der die Services (Sicherheit für die Cloud) laufen, doch für alles, was darüber hinaus geht, ist der Kunde verantwortlich, einschließlich Gast-Betriebssysteme, Anwendungen und Kundendaten. Das wird als Sicherheit in der Cloud beschrieben — wo die Trennlinie zwischen den beiden Verantwortlichkeiten verläuft, sorgt für permanente Verwirrung.

Auch wenn Cloud Computing Unternehmen das Outsourcing vieler Ressourcen ermöglicht, Verantwortung können sie nicht ausgliedern – eine Tatsache, die auch die DSGVO-Regularien bestätigen. Tatsächlich gestaltet sich das Cloud-Ökosystem genauso komplex, wenn nicht sogar noch komplexer, als das On-Premise-Ökosystem, das es zu ersetzen beginnt, denn Unternehmen setzen ihre Umgebungen über mehrere Anbieter hinweg auf. Geschätzte 85% der Unternehmen nutzen mittlerweile mehrere Clouds, und 76% haben zwischen zwei und 15 Hybrid Clouds im Einsatz.

In manchen Fällen fügen gar die Cloud Provider selbst zusätzliche Komplexität hinzu. Alle ein bis zwei Wochen gerät ein anderes Unternehmen in die Schlagzeilen, weil es versäumt hatte, eine kritische Cloud-Datenbank zu sichern, so dass Informationen im öffentlichen Internet zugänglich wurden. Interne Teams sind schlichtweg nicht in der Lage, angesichts der unzähligen verfügbaren Optionen, die geeignete zu wählen, um solche Accounts richtig zu konfigurieren. Und die schlechte Nachricht dabei ist, dass Hacker vermehrt nach exponierten Instanzen scannen: Manche haben gestohlene Daten und nutzen sie für Erpressung, andere wiederum fügen Code zum Datenabschöpfen in exponierte JavaScript-Dateien ein.

Ein dynamisches Problem

Die neue Welt der Cloud ist unbeständig und schnelllebig – und erfordert eine Änderung in der Art und Weise, wie Sicherheitsmanager reagieren. Cloud Workloads sind von Haus aus dynamisch und verursachen beispielsweise Probleme, für die herkömmliche Sicherheitsprozesse und -werkzeuge nur unzureichend gerüstet sind. Wie lässt sich der Überblick über diese sich schnell verändernden Workloads behalten? Heute handelt es sich vielleicht um einen einfachen Webserver, der nicht viel Schutz benötigt, aber morgen könnte er Teil einer stark regulierten E-Commerce-Umgebung sein. Die Anpassung der Sicherheitshaltung an solche Veränderungen stellt eine große Herausforderung dar.

Die Infrastructure-as-Code-Revolution bringt andere Probleme mit sich. Das Schöne an Containern und Microservices etwa ist, dass sie einfach zu erstellen und zu warten sind, sowie dass sie von DevOps-Teams entwickelt und getestet werden können, so dass sie schnell an Marktanforderungen angepasst werden. Doch die gemeinsame Nutzung von Bibliotheken von Drittanbietern setzt Unternehmen dem Risiko fehlerhaften Codes aus, und Cyberkriminelle sind dafür bekannt, versteckte Schadsoftware in diese Repositories einzufügen.

Zeit für einen Wandel

Für Unternehmen bedeutet all dies, dass die Nutzung der Cloud Hand in Hand mit Cybersicherheit gehen muss. Trend Micro stellte in einer kürzlich durchgeführten Forschungsarbeit fest, dass einem Drittel der befragten Unternehmen Sicherheitsteams beim Start von DevOps-Projekten leider nicht involviert waren, wobei 72% der IT-Leiter die Ansicht vertraten, dass diese Tatsache zu Cyberrisiken für das Unternehmen führt. Werden die oben genannten Probleme nicht angegangen, könnte dies zu hohen Datenverlusten, Service-Ausfällen und allen damit verbundenen Risiken für finanzielle und rufschädigende Auswirkungen führen.

Als guter Ausgangspunkt für eine Änderung der Situation empfiehlt es sich, dass Verantwortliche das Modell der geteilten Verantwortung verstehen und in den Cloud-Verträgen vollständig zu klären, welche Teile der Cloud-Umgebung das Unternehmen selbst sichern muss. Als Nächstes sollten sich die Sicherheitsmanager Tools für das Cloud Security Posture Management (CSPM) ansehen, um einen entscheidenden Einblick in ihre bestehende Infrastruktur zu erhalten und um herauszufinden, wo wichtige Fehlkonfigurationen vorhanden sind. Auch sollten sie in Betracht ziehen, die Leistungsfähigkeit der Infrastructure-as-Code für die Sicherheit zu nutzen, mit API-gesteuerten Diensten, die Kontrollmechanismen nahtlos in die DevOps-Pipelines einbetten, um Bedrohungen vor und während der Laufzeit zu erkennen.

Es gibt kein Zurück zu den Gewissheiten von früher. CISOs müssen sich daher das Neue zu eigen machen und einen Weg finden, das Cyberrisiko zu minimieren, ohne Innovation und Geschäftswachstum zu beeinträchtigen.

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

Internet Safety for Kids – Trend Micro Workshop-Reihe erobert Österreich

Kinder wachsen in einer Welt auf, in der das Online-Sein ein normaler Teil des täglichen Lebens ist. Um sich auch sicher im Netz zu bewegen, veranstaltet Trend Micro seit 2008 Aufklärungs- und Awareness-Workshops. Vor kurzem waren die Trend Micro Experten erstmals in einer Wiener Schule zu Besuch und zeigten den Schülerinnen und Schülern, wie verantwortungsvolles Verhalten im Internet aussieht. 

Das Aufwachsen in der digitalen Welt geht nicht nur mit neuen Möglichkeiten einher, sondern stellt Kinder auch vor die Herausforderung, mit Risiken kompetent umgehen zu lernen. Es mag zwar häufig so aussehen, dass gerade Kinder Technologieexperten sind, aber in Wirklichkeit sind sie besonders anfällig für Gefahren im Netz, von Malware und Ransomware bis zu Bedrohungen in Social Media, gefälschten Informationen und Cybermobbing. Diesen Themen widmet sich Trend Micro mit seinem Programm „Internet Safety for Kids“. Seit 2008 vermitteln Trend Micro Experten weltweit Informationen dazu, wie Kinder und Jugendliche Online-Risiken vermeiden und bewältigen können. Seit heuer schafft Trend Micro auch an Österreichs Schulen, und damit dem 20. Land,  Bewusstsein für digitale Sicherheit. Der erste Workshop fand an der Neuen Mittelschule Roda-Roda-Gasse im 21. Bezirk in Wien statt.

„Unser Ziel ist es, Kinder und Jugendliche über die Initiative von Trend Micro darauf vorzubereiten, sich sicher in der digitalen Welt zu bewegen. Bisher haben wir mit unserem Programm weltweit mehr als 2,68 Millionen Kinder, Studenten und Pädagogen erreicht, einen Grossteil davon dank unseres Netzwerks aus über 900 Freiwilligen auf der ganzen Welt. Es freut uns sehr, dass der Workshop auch in Österreich auf grosses Interesse gestossen ist und von den Kindern interessiert angenommen wurde“, so Michael Unterschweiger, Regional Director ALPS bei Trend Micro.

Digitale Kompetenz lernen

Wie können sich Kinder und Jugendliche sicher im Web bewegen? Welche Fertigkeiten müssen sie erlernen, um das digitalisierte Leben zu meistern? Welche Konsequenzen hat ihr Handeln von heute für das digitale Gedächtnis von morgen? Diese und weitere wichtige Fragestellungen diskutierten die Trend Micro Experten mit den Schülerinnen und Schülern. Durch den interaktiven Charakter des Workshops, praktische Beispiele und die einfache und verständliche Erklärung von aktuellen und relevanten Themen wurde den Kindern vermittelt, sich aufmerksam mit Online-Inhalten auseinanderzusetzen und diese kritisch zu hinterfragen. 

Die Vermittlung von digitaler Kompetenz befürwortet auch Dipl.-Päd. Martin Szlama, Direktor der NMS Roda-Roda-Gasse: „Ein gemeinschaftlicher Ansatz, der Kindern beibringt, selbst kritisch darüber nachzudenken, was sie online sagen, tun und austauschen, ist wichtiger denn je. Klar ist, dass das ‚www‘ heutzutage genauso wesentlich ist wie das ‚ABC‘. Daher haben wir das Angebot des kostenlosen Workshops von Trend Micro gerne angenommen, um unsere Schülerinnen und Schüler auf mögliche Online-Risiken zu sensibilisieren.“

Data Protection Day: the 2020s can be the decade of privacy-by-design everywhere

Internet trends come and go. But one concept that has steadily gathered momentum over the past decade is that of data protection and privacy. It’s now enshrined in EU law thanks to the GDPR, and today consumers and businesses are far more aware than they’ve ever been about their rights and responsibilities online. That’s why the coming decade offers a fantastic opportunity to embed privacy-by-design principles into every single organisation. But there’s still much to do, to raise awareness and change behaviours, especially among corporates.

That’s why Trend Micro is a proud sponsor and champion of the annual Data Privacy Day initiative, which is celebrated around the world on 28 January.

Back to the beginning

It was on this day way back in 1981 that the Council of Europe opened for signature Convention 108, the first legally binding international treaty dealing with privacy and data protection. The first European Data Protection Day was held in January 2007 to drive greater engagement with online privacy issues, and the rest is history. 

Over the past 13 years, countless organisations have come unstuck in a very public manner. From a now-infamous HMRC blunder in 2007 to 2018’s Cambridge Analytica scandal, each incident has highlighted the potentially catastrophic impact of negligent data protection programmes. Yet these incidents have also raised public awareness and galvanised lawmakers. Thanks to the GDPR, European citizens are more in control of their personal data than they have ever been, while businesses must clear a high bar to prove they are responsible custodians of that data.  

Still work to do

But there’s still much to do. Highly sensitive personal browsing data is still shared across the adtech digital supply chain billions of times a day without any consent from consumers. Social media companies continue to harvest vast troves of customer data, IoT devices and smart assistants listen to our most intimate conversations, and the growing pervasiveness of digital technology continues to raise concerns among worried parents. 

There are also concerns for businesses. GDPR compliance is no easy thing: its vague references to “state of the art” technology and focus on broad principles rather than prescriptive controls, mean there’s no simple tick-box solution here. For many, there’ll be no 100% way of knowing whether they’re compliant until an incident occurs and the company waits for an official verdict.

There have already been over 160,000 breach notifications across Europe since the regulation landed nearly two years ago, leading to fines of €114m (£94m). These will certainly ramp up, as regulators across the region sharpen their knives. The ICO has already stated its intent to fine Marriott International and BA a combined £282m for serious breaches at the companies.

What happens next?

For now, this means that organisations must ensure their data protection policies are aligned with the GDPR, even in post-Brexit Britain. They must focus on best practice approaches and frameworks like those produced by NIST, Cyber Essentials and ISO. And they must look to partner with the right security experts: vendors that can offer multi-layered protection across all parts of the IT infrastructure, from endpoint to servers, networks to web and email gateways. The end goal is privacy-by-design: a commitment to embedding data protection into everything an organisation does.

At Trend Micro, we sit on both sides of the data privacy debate. Our Internet Safety for Kids and Families (ISKF) programme has offered vital resources for concerned parents for over a decade. But we also provide expert advice and support for organisations struggling to navigate a complex regulatory landscape while ensuring they do right by their customers. 

As a Data Privacy Day Champion, we’re working hard on both fronts — to ensure consumers know their rights, and have the tools and knowledge to stay safe online, and that businesses have the right controls and processes in place to meet their data protection responsibilities. As we travel through a new decade, there’s still plenty of work to do.

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

DDoS-Angriffe mit TCP-Verstärkung verursachen Netzwerküberlastungen

Während des letzten Monats haben Bedrohungsakteure eine Reihe von Distributed Denial-of-Service (DDoS)-Angriffe gestartet und dafür einen relativ unkonventionellen Ansatz gewählt: TCP Amplification (Verstärkung). Radware beschrieb im eigenen Blog mehrere weltweite Kampagnen mit TCP Reflection-Angriffen, speziell die Variante der SYN-ACK Reflection-Attacken. Dabei geht es nicht allein um die Auslastung eines Servers mit vielen halboffenen TCP-Verbindungen, sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN-Flood vom Angreifer missbraucht, um die so ausgelösten Antworten (SYN-ACK-Pakete) an die vermeintlichen Absender zu schicken. So werden diese Angriffe bei Wikipedia erklärt. Die betroffenen Ziele riskieren sogar, von Netzwerkadmins auf Blacklists zu kommen wegen der gefälschten SYN Requests.

Ablauf von DDoS-Angriffen

Im Fall dieses Angriffs schicken die Hintermänner ein SYN-Paket (das aussieht, als ob es von der Netzwerk-IP-Adresse des Ziels stammt) an eine Reihe von zufälligen oder vorgewählten Reflection-IP-Adressen oder -Diensten. Diese Adressen reagieren auf das gefälschte SYN-Paket mit einem SYN-ACK-Paket, das an das Zielnetzwerk gesendet wird. Reagiert das Netzwerk nicht wie erwartet, so sendet die IP-Adresse das SYN-ACK-Paket erneut, um einen Dreiwege-Handshake zu etablieren, der zur Verstärkung führt. Die Verstärkung hängt von der Anzahl der Wiederholungen durch den Reflection Service ab, die vom Angreifer bestimmt werden kann. Je mehr die Reflection IP die SYN-ACK-Anfragen an das Zielnetzwerk sendet, desto größer wird die Verstärkung.

IP Adressen Spoofing im User Datagram Protocol

UDP ist ein verbindungsloses Protokoll und hat als solches im Gegensatz zu TCP keine Handshake-Phase, in der sich die beiden Endpunkte auf eine Sequenzzahl einigen, die eine Verbindung identifiziert. Das bedeutet, dass, wenn ein Angreifer A ein UDP-Paket mit einer gefälschten Quell-IP-Adresse B an einen Endpunkt C sendet, C keine Möglichkeit hat, zu überprüfen, ob dieses Paket von B oder A kommt.

DDoS-Angriffe über TCP-Reflection sind ungewöhnlich, da einige glauben, dass ein solcher Angriff nicht in der Lage ist, genügend Traffic so weit zu verstärken, wie es UDP-basierte Reflections können, so die Forschung. Unabhängige Untersuchungen haben jedoch ergeben, dass viele internetfähige Geräte zur Verstärkung bis zu einem Faktor von fast 80.000 missbraucht werden können und bei Bedarf mehr als 5.000 SYN-ACK-Pakete innerhalb von 60 Sekunden erneut übertragen werden.

Schutz vor DDoS- und TCP Reflection-Angriffen

Unternehmen sind gut beraten, ihre Netzwerkaktivitäten regelmäßig zu überwachen und die neusten System-Patches aufzuspielen, um sich vor Risiken im Zusammenhang mit DDoS-Angriffen zu schützen, einschließlich TCP-bezogener bösartiger Aktivitäten. Zur Verhinderung solcher Attacken sind eine vernetzte Verteidigungsstrategie und mehrschichtige Sicherheitsmechanismen wie DDoS-Schutz und Webreputations-Fähigkeiten von essenzieller Bedeutung.

Mithilfe von Network Intrusion Tools wie die von Trend Micro™ Deep Discovery Inspector™ und TippingPoint können Organisationen ihren ankommenden und nach außen gehenden Traffic überwachen. Auch sollten sie prüfen, ob Netzwerk-Provider Anti-Spoofing implementiert haben wie BCP 38 & 84. Damit wird sichergestellt, dass gefälschte Pakete in DDoS Reflection-Angriffen nicht ins Netzwerk kommen. Trend Micro™ Deep Security™ bietet zudem Netzwerksicherheits-Fähigkeiten wie Deep Packet-Inspektion, Intrusion Prevention System (IPS) und eine Host Firewall.