Archiv der Kategorie: Internet-Bedrohungen

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

Smart doch angreifbar: Schwachstellen bei IoT-Geräten

Die Vielfalt der Funktionen von smarten Geräten bietet grossen Nutzen für Umgebungen zu Hause, in Unternehmen und im öffentlichen Bereich, doch gleichzeitig sind auch die Sicherheitsrisiken hoch, die sich durch Schwachstellen und Lücken darin ergeben. Angreifbare smarte Geräte setzen die Netzwerke Angriffen aus. IoT-Geräte sind vor allem deshalb gefährdet, weil ihnen die notwendige eingebaute Sicherheit fehlt, um Bedrohungen abzuwehren. Abgesehen von technischen Aspekten tragen aber auch die Nutzer zur Anfälligkeit der Geräte für Bedrohungen bei.

Einige der Gründe, warum diese smarten Geräte angreifbar sind:

  • Begrenzte rechnerische Fähigkeiten und Hardware-Beschränkungen: Die Geräte verfügen über spezifische Funktionen, die nur begrenzte Rechenfähigkeiten erfordern, so dass wenig Raum für robuste Sicherheitsmechanismen und Schutz der Daten bleibt.
  • Heterogene Übertragungstechnologie: Geräte verwenden häufig viele unterschiedliche Übertragungstechniken. Dadurch ist es schwierig, Standard-Schutzmethoden und -Protokolle festzulegen.
  • Angreifbare Komponenten der Geräte: Anfällige Basiskomponenten haben Auswirkungen auf Millionen eingesetzter smarter Geräte.
  • Nutzer mit mangelndem Sicherheitsbewusstsein: Infolge eines mangelhaften Sicherheitsdenken bei den Nutzern können vernetzte Geräte Schwachstellen und Lücken für Angreifer ausgesetzt werden.

Schwachstellen in Geräten ermöglichen es Cyberkriminellen, sie als Ausgangsbasis für ihre Angriffe zu nutzen. Dies hebt nochmals hervor, wie wichtig es ist, Sicherheit bereits in der Entwurfsphase mit einzubinden.

Auswirkungen der Sicherheitslücken auf Nutzer

Die Untersuchung von grösseren Angriffen auf IoT-Geräte zeigt, wie diese sich auf Nutzer auswirken können. Bedrohungsakteure können angreifbare Geräte für laterale Bewegungen nutzen, um so ihre Wunschziele zu erreichen. Auch lassen sich Sicherheitslücken dazu nutzen, um Geräte selbst ins Visier zu nehmen und sie für grössere Kampagnen zu missbrauchen oder um Malware ins Netzwerk zu bringen.

IoT Botnets zeigen die Auswirkungen von Geräte-Schwachstellen und wie Cyberkriminelle diese ausnutzen. 2016 geriet Mirai, eine der bekanntesten Arten von IoT-Botnet-Malware, in die Schlagzeilen, als das Botnet, bestehend aus Tausenden von kompromittierten IoT-Haushaltsgeräten, in einer Distributed Denial of Service (DDoS)-Kampagne namhafte Websites lahmlegte. Aus geschäftlicher Sicht lassen IoT-Geräte die Unterscheidung zwischen der notwendigen Sicherheit in Unternehmen und Privathaushalten weiter schwinden, insbesondere in Home Office-Szenarien. Die Einbindung von IoT-Geräten im Haushalt kann auch neue Einstiegspunkte in Umgebungen mit möglicherweise schwacher Sicherheit eröffnen und Mitarbeiter Malware und Angriffen aussetzen, über die Angreifer ins Unternehmensnetzwerk gelangen können. Dies ist ein wichtiger Aspekt bei der Entscheidung für die Implementierung von Bring Your Own Device (BYOD)– und Home Office-Szenarien.

Angreifer können IoT-Geräte mit bekannten Schwächen ebenso für das Eindringen in interne Netzwerke nutzen. Die Bedrohungen reichen von DNS Rebinding-Attacken, um aus internen Netzwerken Informationen zu sammeln und zu exfiltrieren, bis zu neuen Angriffen über Seitenkanäle wie Infrarotlaser für Attacken auf vernetzte Geräte.

Beispiele für Sicherheitslücken in IoT-Geräten

Es hat bereits viele Fälle gegeben, die die Auswirkungen von IoT-Schwachstellen vor Augen führen, einige davon in der Praxis andere im Rahmen eines Forschungsprojekts. Die Nonprofit-Organisation Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr eine Liste der Top IoT-Schwachstellen. Zu den am weitesten verbreiteten Lücken gehören die folgenden:

  • Schwache, leicht zu erratende oder fest codierte Passwörter: Typischerweise nutzen dies neue Malware-Varianten aus. Beispielsweise fanden die Sicherheitsforscher von Trend Micro eine Mirai-Variante namens Mukashi, die CVE-2020-9054 missbrauchte und Brute Force-Angriffe mit Standard-Anmeldedaten, um sich in Zyxel NAS-Produkte einzuwählen.
  • Unsichere Ökosystem-Schnittstellen: Die Erforschung von komplexen IoT-Umgebungen zeigte exponierte Automatisierungsplattformen, die die Funktionen mehrerer Geräte verketten. Der exponierte Automatisierungsserver enthielt wichtige Informationen wie Geostandort des Haushalts und fest codierte Passwörter.
  • Unsichere Netzwerkdienste: Ein Forschungsprojekt von Trend Micro aus dem Jahr 2017 widmete sich der Sicherheit von Sonos smarten Lautsprechern. Die Studie zeigte, wie einfach offene Ports das Gerät für jedermann im Internet zugänglich machen.

Nutzer sollten diese allgemein vorhandenen Schwachstellen ernst nehmen und die nötigen Vorsichtsmassnahmen gegen Exploits treffen. Weitere Einzelheiten zu IoT-bezogenen Angriffen sowie Sicherheitsempfehlungen umfasst die IoT-Ressource-Seite von Trend Micro.

Verantwortlichkeiten bei Sicherheit von IoT-Geräten

Das Potential unvorhersehbarer kaskadenartiger Auswirkungen von Schwachstellen und mangelnder Sicherheit im IoT beeinflusst in hohem Masse die allgemeine Sicherheit des Internets. Die Gewährleistung der Sicherheit dieser Geräte liegt in der gemeinsamen Verantwortung aller Beteiligten.

Die Hersteller müssen bekannte Schwachstellen in Nachfolgeprodukten beheben, Patches für bestehende Produkte bereitstellen und das Ende des Supports für ältere Produkte melden. Hersteller von IoT-Geräten müssen zudem die Sicherheit bereits in der Entwurfsphase berücksichtigen und dann Penetrationstests durchführen, um sicherzustellen, dass es keine unvorhergesehenen Lücken in einem System und Gerät in der Produktion gibt. Und Unternehmen sollten auch über ein System verfügen, über das sie Schwachstellen-Reports von Dritten zu ihren eingesetzten Produkten empfangen können.

Die Benutzer müssen mehr Wissen über die Sicherheitsrisiken beim Anschluss dieser Geräte und über ihre Aufgabe bei der Sicherung dieser Geräte erlangen. Die Risiken lassen sich unter anderem durch die Änderung der Standardpasswörter, die Aktualisierung der Firmware und die Wahl sicherer Einstellungen mindern.

Eine vollständige und mehrschichtige Verteidigung erhalten Anwender mit Hilfe von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Sicherheitsfunktionen gegen Bedrohungen IoT-Geräte bieten, denn sie können Malware auf den Endpunkten erkennen. Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internet-Verkehr zwischen Router und allen vernetzten Geräten überprüfen können. Die Netzwerk-Appliance Trend Micro™ Deep Discovery™ Inspector bietet Monitoring aller Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen und kann somit Unternehmen vor gezielten Angriffen schützen.

Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 1

Originalbeitrag von Magno Logan, Threat Researcher

Cloud-native Softwareentwicklung dient der Erstellung und dem Ablauf von skalierbaren Anwendungen in der Cloud – seien es öffentliche, private oder hybride Umgebungen. Der Ansatz baut auf quelloffene und proprietäre Software, um Anwendungen wie Microservices bereitzustellen, die in einzelnen Containern in isoliert ausführbare Prozesse verpackt sind. Da Unternehmen mehrere Container auf mehreren Hosts laufen lassen, setzen sie Orchestrierungssysteme wie etwa Kurbernetes ein, die über CI/CD-Tools mit DevOps-Methodologien bereitgestellt und verwaltet werden. Mithilfe von Cloud-nativen Technologien können Unternehmen das Meiste aus ihren Cloud-Ressourcen herausholen mit weniger Overhead, aber schnelleren Antwortzeiten und einfacherer Verwaltung. Wie bei jeder Technologie, die unterschiedliche, miteinander verbundene Tools und Plattformen nutzt, spielt auch beim Cloud-nativen Computing Sicherheit eine entscheidende Rolle. Es gibt heutzutage kein komplexes Softwaresystem, das vor Hacking gefeit ist und zu 100% undurchdringlich ist. Deshalb stellt das Konzept einer tiefgreifenden Verteidigung ein Muss für die Sicherheit dar.

Die tiefgreifende Verteidigung oder Defense-in-Depth beruht auf mehreren Sicherheitsschichten mit Barrieren über verschiedene Bereiche im Unternehmen hinweg. Damit soll der Schutz gewährleistet sein, auch wenn eine Kontrollschicht versagt. Cloud-native Sicherheit setzt ebenfalls auf dieses Konzept und unterteilt die Strategie für Cloud-native Systeme in vier unterschiedliche Schichten. Kubernetes nennt dies „The 4Cs of Cloud-native Security“.

Bild 1. Die 4 Cs der Cloud-nativen Sicherheit

Wichtig ist, Sicherheitskontrollen in jeder Schicht anzuwenden, denn jeder Layer liefert eine eigene Angriffsoberfläche und wird nicht zwangsläufig durch andere Layer geschützt. So wird etwa eine unsichere Webanwendung bei einem Angriff über SQL Injection nicht durch äussere Schichten (siehe Bild 1) dagegen geschützt, wenn keine spezielle Sicherheitssoftware vorhanden ist. Sicherheitsverantwortliche müssen jedes mögliche Szenario mit einbeziehen und Systeme auf jede Art schützen.

Cloud-Sicherheit

Der Cloud Layer umfasst die Infrastruktur, auf der Server betrieben werden. Beim Aufsetzen eines Servers bei einem Cloud Service Provider (CSP) sind viele unterschiedliche Dienste beteiligt. Und obwohl die Hauptverantwortung für die Sicherung solcher Dienste (z.B. Betriebssystem, Plattformverwaltung und Netzwerkkonfiguration) bei den CSPs liegt, ist der Kunde nach wie vor für die Überprüfung und Konfiguration dieser Dienste sowie für die Überwachung und Sicherung seiner Daten verantwortlich. Dieses Modell der geteilten Verantwortung ist wichtig, wenn ein Unternehmen Ressourcen und Dienste in die Cloud verlagert.

Folgende sind die häufigsten Probleme, die in den heutigen Cloud-Systemen auftreten:

Unternehmen können diese Art von Problemen vermeiden, wenn sie die Empfehlungen ihrer Cloud Provider befolgen und regelmässige Audits durchführen, um sicherzustellen, dass alle Konfigurationen ihre Richtigkeit haben, bevor sie ins Internet gehen.

Der Einsatz von Infrastructure-as-Code (IaC)-Practices stellt eine effiziente Massnahme dar, die gewährleistet, dass Systeme richtig erstellt und ihre Konfiguration korrekt ist. IaC verwendet Code, um die sachgerechte Bereitstellung von IT-Architekturen zu automatisieren. Damit lässt sich die manuelle Bereitstellung durch DevOps-Ingenieure eliminieren, wodurch Versehen und menschliche Fehler minimiert werden, solange bewährte Verfahren befolgt werden. Tools wie Terraform, Ansible und CloudFormation bieten Unterstützung beim Festlegen der Grundeinstellungen für die Infrastruktur, einschließlich derer für die Sicherheit. Auch helfen sie sicherzustellen, dass die Einstellungen unverändert bleiben, es sei denn, jemand genehmigt und stellt den notwendigen Code zur Verfügung, um sie zu ändern.

Der Einsatz von IaC Practices ist mittlerweile die Norm beim Erstellen und dem Aufbau von Cloud-Umgebungen. Es ist tatsächlich nicht mehr nötig, Server manuell einzurichten und zu konfigurieren – Automatisierung ist der Schlüssel zur Sicherung von Cloud-Architekturen.

Wichtig ist es zudem, den Sicherheitsempfehlungen des Cloud Service Providers zu folgen. Einige der bekanntesten Best Practices von CSP:

Zu den Lösungen, die Ein- und Übersichten in Cloud-Architekturen bieten sowie automatisierte Sicherheits- und Compliance-Checks, gehört Trend Micro™ Cloud One – Conformity.

Cluster-Sicherheit

Beim Thema Cluster Security geht es zumeist um Kubernetes, denn dies ist das derzeit am häufigsten eingesetzte Container Orchestrierungs-Tool. Doch die Sicherheitsprinzipien gelten genauso auch für andere Lösungen.

Es gibt drei Cluster-Hauptelemente, um die sich Unternehmen kümmern müssen:

  • Cluster-Komponenten: Dabei geht es um den Schutz der Komponenten, die das Cluster bilden oder bei Kubernetes den Master Node. An erster Stelle bei der Cluster-Sicherheit stehen Themen wie die Kontrolle des API-Server-Zugriffs und die Beschränkung des direkten Zugriffs auf etcd, den primären Datenspeicher von Kubernetes. Um ungewollten Zugang zu Datenspeichern zu vermeiden, sollten Administratoren den standardmässigen Zugriff verbieten und nur expliziten Verkehr zulassen. Kubernetes liefert ein ausführliches Dokument, das die Art und Weise wie Cluster vor unbeabsichtigtem oder bösartigem Zugriff zu schützen sind, beschreibt. Sofern ein Unternehmen nicht über ein großes Team verfügt und/oder strenge Compliance-Anforderungen zu erfüllen hat, empfiehlt sich die Nutzung von Cluster Managed Services wie Azure Kubernetes Service (AKS), Elastic Kubernetes Service (EKS) oder Google Kubernetes Engine (GKE).
  • Cluster Services. Hier geht es um die sachgemässe Konfiguration und die Zugangskontrolle zu den Services, die im Cluster laufen. Zur Absicherung dieser Dienste empfiehlt Kubernetes das Aufsetzen bestimmter Schutzmassnahmen wie Ressourcenmanagement und das Prinzip der geringsten Privilegien für den Ablauf der Services. Des Weiteren sollten geeignete Authentifizierung und Autorisierung für das Cluster vorhanden sein, Verschlüsselung für den Verkehr mit Transport Layer Security (TLS) sowie der Schutz für kritische Informationen. Weitere technische Details zur Sicherheit der Cluster-Services bietet das Center for Internet (CIS) Kubernetes Benchmark.
  • Cluster Networking. In diesem Bereich ist die richtige Zuweisung von Ports wichtig, um die Kommunikation zwischen Containern, Pods und Diensten zu erleichtern. Es muss sichergestellt sein, dass das Kubernetes-Netzwerkmodell mithilfe einer Container-Netzwerkschnittstelle (CNI), die es den Benutzern ermöglicht, den Pod-Verkehr einzuschränken, sicher implementiert wird.

Weitere detaillierte Empfehlungen für die sichere Container-Orchestrierung bietet der Blogeintrag zur Sicherheit von Kubernetes Container-Orchestrierung.

Im 2. Teil beschreiben wir, wie Container- und Code-Sicherheit – die nächsten 2C – aussehen sollte.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Umfassend geschützt im Home Office

von Martin Rösler, Trend Micro Research

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Als Folge meldet sich eine Vielzahl von Mitarbeitern nun remote an Unternehmensnetzwerken und Cloud-basierten Anwendungen an, und damit vergrößert sich gerade für Unternehmen, die eine solche Regelung erstmalig einführen, auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle. Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen.

Checkliste für Unternehmen

  • Aufsetzen einer Zweifaktor-Authentifizierung: Viele Websites und Services implementieren Zweifaktor-Authentifizierung (2FA). Unternehmen müssen sicherstellen, dass sich die Sicherheit von Logins nicht allein auf Passwörter beschränkt, sondern beispielsweise auch mobilen Authentifizierungs-Apps oder Biometrie genutzt werden.
  • Vorkonfigurierte Home-Office-Szenarien: Organisationen müssen ihre Sicherheitsstrategie überprüfen und klare Richtlinien für das Arbeiten von zu Hause aufsetzen. Es sollte Intrusion Prevention und ein Schutz vor Datendiebstahl vorhanden sein, am besten über IT-bewilligte Laptops.
  • Regelmäßiges Backup der Daten: Das Backup sollte der 3-2-1-Regel folgen: d.h. mindestens drei Kopien der Daten in zwei unterschiedlichen Speicherformaten, wobei mindestens eine Kopie Off-Site liegen muss (etwa auf externen SSD- oder HD-Laufwerken).
  • Ausreichend VPN-Lizenzen bereitstellen: Die Zunahme mobiler Mitarbeiter erfordert auch mehr Lizenzen für VPNs sowie ausreichend Netzwerk-Bandbreite für den Zugang.
  • Nutzung von VPNs limitieren: Arbeitgeber müssen den Zugang zu VPNs regeln und periodische Neuanmeldung erforderlich machen, etwa alle 12 Stunden oder jeden Tag.

Sicherheitsteams können sich bezüglich Unternehmensrichtlinien auch über den Guide des SANS Institutes informieren.

Checkliste für Mitarbeiter

Nicht nur das Unternehmen allein trägt die Verantwortung für das sichere Arbeiten von zu Hause. Auch die Mitarbeiter müssen einige Regeln beachten:

  • Nutzen eines Unternehmens-Laptops, wenn möglich: Den eigenen persönlichen Laptop für das Home Office zu nutzen, kann gefährlich sein, weil dieser unter Umständen weniger Sicherheitsmechanismen umfasst als die Firmen-Hardware. Den Unternehmens-Laptop sollte wiederum ausschließlich der Mitarbeiter nutzen, kein anderes Familienmitglied darf darauf zugreifen können. Muss ein Mitarbeiter dennoch den eigenen, persönlichen Computer für sein Home Office einsetzen, ist das Installieren einer vom Arbeitgeber gelieferten Sicherheitslösung unabdingbar. Auch alle vom Unternehmen geforderten Schutzmaßnahmen müssen getroffen werden.
  • Verwenden von VPNs, die das Unternehmen zur Verfügung stellt: Das bedeutet im Umkehrschluss das Vermeiden von kostenlosen, öffentlichen WLANs. Mobile Mitarbeiter sollten die dedizierten Unternehmens-VPN-Server für Netzwerkverbindungen von zu Hause nutzen — doch lediglich vom Arbeits-Laptop aus. Dennoch, Vorsicht vor Phishing-Angriffen, die VPN-bezogene Kontozugangsdaten stehlen wollen.
  • Netzwerke aufteilen: „Home Worker“ müssen ein Gast-Netzwerk nutzen, um den Unternehmens-Laptop oder -Desktop zu isolieren. Ist ein Router oder Switch mit Virtual Local Area Network (VLAN)-Funktionalität vorhanden, sollte dieses aktiviert werden und ein VLAN lediglich für die Office-Arbeit zugeteilt sein.
  • Backup-Lösung auch zu Hause einsetzen: Backup-Optionen mit Hardware wie USB-Laufwerke sind sehr nützlich, wenn etwas schiefläuft (Verbindungsverlust oder Server-Absturz). macOS-Nutzer können Time Machine für Backups aktivieren.
  • Vorsicht vor Online-Betrug: Kriminelle nutzen die aktuelle Situation und die Angst vor COVID-19 weidlich für ihre betrügerischen Aktivitäten Die Angriffe kommen über Email, bösartige Domänen, gefälschte Apps oder soziale Medien. Nutzer sollten auf verräterische Anzeichen von Phishing-Betrug achten: unbekannter Absender, eklatante Grammatikfehler, nicht übereinstimmende URLs und seltsam anmutende Geschichten. Keine identifizierbaren Informationen wie persönliche Daten und Bankkontoinformationen angeben! Stattdessen sollte das Unternehmen sofort benachrichtigt werden, wenn jemand solche Versuche feststellt.

Basissicherheit für das Netzwerk zu Hause

  • Sichern des Gateways: Der Router ist das Gateway zu allen mit dem Internet verbundenen Geräten im Home-Netzwerk. Angreifer sind dafür bekannt, dass sie Heimrouter mit Standard-Anmeldeinformationen kompromittieren. Wichtig! das Passwort für den Router regelmäßig ändern, da es möglicherweise vorher mit anderen Benutzern geteilt wurde. Empfohlen werden Passwörter, die nicht anfällig für „Wörterbuch“-Angriffe sind, d.h. solche mit mehr als 12 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Ebenso ist es wichtig, die Firmware des Routers immer auf die neueste Version zu aktualisieren. Router, die von Internetdienstanbietern (ISPs) kommen, verfügen in der Regel über automatische Aktualisierungen, doch zusätzliche Sorgfalt lässt sich über die Web-Konsole des Routers üben, die über seine IP-Adresse zugänglich ist.
  • Nutzerkonten auf dem Router auf zwei reduzieren: Ein Superuser-Konto sollte lediglich für Setup und Konfiguration (lokales Konto statt remote) dienen, und ein persönliches Konto erlaubt die Verwaltung des Routers (lokales Konto statt remote). Technisch Versierte könnten auch einen Port Scan auf der IP-Adresse des Routers durchführen, oder falls dies nicht möglich ist, die eigene IP-Adresse auf Shodan überprüfen. Viele Router erlauben auch das automatische Hinzufügen neuer Geräte, allerdings sollte diese Funktion deaktiviert und unbekannte angeschlossene Geräte aus der Router-Konfiguration entfernt werden. Als Zusatzsicherheit lässt sich auch eine Backup-Internetverbindung über einen Router in Betracht ziehen, der LTE unterstützt, für den Fall, dass die normale ISP-Leitung ausfällt. Die Tethering- oder persönliche Hotspot-Funktion des Smartphones kann ebenfalls als Verbindungssicherung dienen.
  • Fortgeschrittene Nutzer können mit einem Proxy arbeiten: Gibt es im Home Office einen Raspberry Pi- oder einen alten Linux-Rechner, so ließe sich dieser als PI-„Enklave“ nutzen, um die Geräte vor Adware oder sonstigen unerwünschten Inhalten zu schützen. Alternativ ließen sich Network-Attached Storage (NAS)-Systeme konfigurieren, um solche Inhalte fernzuhalten.
  • Software immer auf aktuellem Stand halten: Jegliche Software im Betrieb muss durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden, um die Gefahr einer Malware-Infizierung möglichst gering zu halten.

Weitere Empfehlungen für die Sicherheit bei virtuellen Meetings gibt Udo Schneider, Security Evangelist in „Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer“.

Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer

von Udo Schneider, Security Evangelist bei Trend Micro

Zusammenkünfte und physischen Kontakt vermeiden, so genanntes „Social Distancing“, ist das Gebot der Stunde in Zeiten der Coronavirus-Pandemie. Eine Vielzahl von Firmen hat ihren Mitarbeitern mittlerweile Home Office verordnet. Aber für etliche Unternehmen ist diese Regelung ungewohnt und sie stehen gleichzeitig unter dem Zwang, ihre Geschäftsabläufe möglichst schnell dieser neuartigen digitalen Situation anzupassen. Das betrifft unter anderem natürlich auch die Art, wie geschäftliche Kommunikation stattfindet. Virtuelle Meetings sind jetzt eine der besten und viel genutzten Möglichkeiten, mit Kollegen, Teams, vielleicht sogar Kunden und Partnern geschäftliche Abläufe zu besprechen, zu planen oder Informationen auszutauschen. Während Nutzern mittlerweile die Notwendigkeit von Sicherheitsmaßnahmen für ihre Online-Interaktionen größtenteils bewusst ist, wird der Schutz von virtuellen Meetings häufig noch außer Acht gelassen. Best Practices beim Umgang mit Videokonferenzen sollten aber neben den technischen Sicherheitsmaßnahmen stets beachtet werden.

Der prominenteste Fall einer Sicherheitspanne dieser Art war die Videokonferenz des Bayerischen Innenministeriums zur Ausbreitung des Coronavirus, die fast öffentlich mitverfolgt werden konnte und für entsprechende Schlagzeilen sorgte.

Die Gefahr, die von der Nutzung eines Online-Kommunikationstools ausgeht, ist im privaten Bereich wahrscheinlich nicht sehr hoch. Im geschäftlichen Umfeld jedoch müssen Kommunikationstools in puncto Sicherheit ganz andere Anforderungen erfüllen, geht es doch um Vertraulichkeit und den Austausch von Geschäftsdaten bzw. -infos. Für viele Unternehmen und Anwender ist diese Art der Kommunikation ungewohnt, und sie sind darauf nicht vorbereitet. Umso wichtiger ist es, das Bewusstsein für die Sicherheit bei Videokonferenzen zu schärfen und auch Best Practices beim Umgang damit zu beachten.

Datenschutz bei Videokonferenzen

In erster Linie müssen sich Unternehmen darüber bewusst sein, dass sie die Verantwortung für die Integrität und Vertraulichkeit der geschäftlichen Daten auch beim Video-Conferencing tragen. Das bedeutet, dass ein virtuelles Meeting mithilfe eines Tools erfolgen sollte, das auf den professionellen Einsatz zugeschnitten ist und Möglichkeiten für die Absicherung der Konferenzen bietet. Dies ist bei Tools, wie Google Hangout oder Facetime für den privaten Gebrauch nicht gegeben. Auch ist es gut möglich, dass es etwa versteckte Nutzungsbedingungen einiger Hersteller gibt, die das Weiterleiten von Daten erlaubt.

Erste Voraussetzung für die Sicherheit von virtuellen Meetings im geschäftlichen Bereich ist es also, dafür zu sorgen, einen entsprechenden Dienst für die Meetings aus dem Home Office zur Verfügung zu stellen. Die meisten dieser Dienste sind mit eingebauten Sicherheitsfunktionen ausgestattet, und viele Provider liefern Sicherheitsempfehlungen für ihre Plattformen und erklären auch ausdrücklich, keine Daten weiter zu geben.

Dennoch finden Böswillige Mittel und Wege, auch diese Plattformen zu missbrauchen, sei es durch infizierte Domänen oder Dateien, sei es, um die Meetings durch Trolle zu stören oder ihre Botschaften zu verbreiten. Jüngstes Beispiel für derartigen Missbrauch ist die Plattform Zoom als Ziel dieser Akteure.

Sicherheitsempfehlungen

Umso wichtiger ist es, dass gerade diejenigen, die eine Videokonferenz aufsetzen, bestimmte Regeln und Richtlinien beachten und durchsetzen:

  • Sicherheits-Policies: Unternehmen müssen genau festlegen, welche Sicherheitsregeln bei einem virtuellen Meeting befolgt werden müssen.
  • Wiederverwendung von Zugangscodes limitieren: Wird immer derselbe Code für eine Videokonferenz verwendet, so kennen wahrscheinlich mehr Leute den Code als dem Host lieb ist.
  • Keine statischen Konferenznummern: Das Ändern dieser Nummern erschwert das Auffinden der Konferenzräume.
  • Schutz über PINs oder Passwörter: Ist das Thema einer Konferenz besonders vertraulich oder werden dabei kritische Daten ausgetauscht, lassen sich die Meetings mit der Vergabe von PINS oder Passwörtern zusätzlich schützen, oder gar eine Mehrfaktor-Authentifizierung aufsetzen
  • Dashboard für das Monitoring der Teilnehmer: Über ein Dashboard kann der Host überprüfen, ob sich jemand einwählt, der nicht eingeladen ist.
  • Konferenz abschließen: Das bedeutet, dass der Host überprüft, ob alle Teilnehmer sich eingewählt haben, um dann den Zugang zu schließen.
  • Nicht benötigte Funktionen deaktivieren: Dazu gehören unter Umständen Chats oder das Teilen bestimmter Arten von Dateien oder auch die Recording-Funktion.

Doch nicht nur die virtuelle Konferenz selbst muss abgesichert sein, sondern auch die Geräte im Home Office und die Verbindung zur Konferenz müssen entsprechend geschützt sein. Dazu gehört eine sichere WLAN-Verbindung, Systeme, die auf aktuellem Stand sind und das Vorhandensein einer Antivirus-Lösung sowie regelmäßige Backups der Daten. Empfehlungen für einen adäquaten Schutz vor Bedrohungen sowohl für die bei der Heimarbeit eingesetzten Geräte als auch für das Heimnetzwerk und die genutzten Lösungen gibt Trend Micro im Blogbeitrag „Umfassend geschützt im Home Office“.

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.

Eine neue Ära

Die Analysten von Gartner gehen davon aus, dass der weltweite Markt für öffentliche Cloud-Services 2020 um beeindruckende 17% auf 266 Milliarden $ steigen wird. Die Vorteile der Cloud sind mittlerweile wohlbekannt: eine Verbindung aus IT-Effizienz und Flexibilität mit Kosteneinsparungen und Skalierbarkeit. Dadurch können so unterschiedliche Organisationen wie Versorgungsunternehmen, Einzelhändler und sogar Gesundheitsdienstleister Geschäftsprozesse optimieren und die Produktivität ihrer Mitarbeiter verbessern sowie innovative kundenorientierte Dienstleistungen anbieten, um das Wachstum zu fördern.

Unternehmenssysteme bestehen heutzutage aus einem komplexen, heterogenen Mix aus physischen Altservern und mehreren hybriden Cloud-Systemen. Um diese Komplexität zu bewältigen, setzen Unternehmen auf Container und Microservices, die eine bessere Integration hybrider Clouds und eine effizientere Entwicklung neuer Anwendungen ermöglichen sollen. Die für solche Projekte verantwortlichen DevOps-Teams arbeiten auf der Grundlage einer neuen Infrastructure-as-Code, wo alles softwaredefiniert ist – von den VMs und Containern, die schnell herkömmliche Server ersetzen, bis hin zu Netzwerken und Anwendungs-Stacks.

Es nimmt also nicht Wunder, dass der Markt für digitale Transformation in den nächsten fünf Jahren um 18% wachsen soll, und 2025 dann 924 Milliarden $ beträgt.

Neue Probleme

Mit dem radikalen Wechsel in der Bereitstellung von IT gehen zwei neue Gruppen von Risiken einher. Die Cloud Provider selbst haben zwar gute Sicherheitsteams, und ihre Datencenter werden nach den höchsten Sicherheits- und Betriebsstandards geführt, doch liegt die Sicherheit nicht allein in ihrer Verantwortung. Amazon Web Services (AWS) erklärt ausdrücklich, dass das Unternehmen sich um die Infrastruktur kümmert, auf der die Services (Sicherheit für die Cloud) laufen, doch für alles, was darüber hinaus geht, ist der Kunde verantwortlich, einschließlich Gast-Betriebssysteme, Anwendungen und Kundendaten. Das wird als Sicherheit in der Cloud beschrieben — wo die Trennlinie zwischen den beiden Verantwortlichkeiten verläuft, sorgt für permanente Verwirrung.

Auch wenn Cloud Computing Unternehmen das Outsourcing vieler Ressourcen ermöglicht, Verantwortung können sie nicht ausgliedern – eine Tatsache, die auch die DSGVO-Regularien bestätigen. Tatsächlich gestaltet sich das Cloud-Ökosystem genauso komplex, wenn nicht sogar noch komplexer, als das On-Premise-Ökosystem, das es zu ersetzen beginnt, denn Unternehmen setzen ihre Umgebungen über mehrere Anbieter hinweg auf. Geschätzte 85% der Unternehmen nutzen mittlerweile mehrere Clouds, und 76% haben zwischen zwei und 15 Hybrid Clouds im Einsatz.

In manchen Fällen fügen gar die Cloud Provider selbst zusätzliche Komplexität hinzu. Alle ein bis zwei Wochen gerät ein anderes Unternehmen in die Schlagzeilen, weil es versäumt hatte, eine kritische Cloud-Datenbank zu sichern, so dass Informationen im öffentlichen Internet zugänglich wurden. Interne Teams sind schlichtweg nicht in der Lage, angesichts der unzähligen verfügbaren Optionen, die geeignete zu wählen, um solche Accounts richtig zu konfigurieren. Und die schlechte Nachricht dabei ist, dass Hacker vermehrt nach exponierten Instanzen scannen: Manche haben gestohlene Daten und nutzen sie für Erpressung, andere wiederum fügen Code zum Datenabschöpfen in exponierte JavaScript-Dateien ein.

Ein dynamisches Problem

Die neue Welt der Cloud ist unbeständig und schnelllebig – und erfordert eine Änderung in der Art und Weise, wie Sicherheitsmanager reagieren. Cloud Workloads sind von Haus aus dynamisch und verursachen beispielsweise Probleme, für die herkömmliche Sicherheitsprozesse und -werkzeuge nur unzureichend gerüstet sind. Wie lässt sich der Überblick über diese sich schnell verändernden Workloads behalten? Heute handelt es sich vielleicht um einen einfachen Webserver, der nicht viel Schutz benötigt, aber morgen könnte er Teil einer stark regulierten E-Commerce-Umgebung sein. Die Anpassung der Sicherheitshaltung an solche Veränderungen stellt eine große Herausforderung dar.

Die Infrastructure-as-Code-Revolution bringt andere Probleme mit sich. Das Schöne an Containern und Microservices etwa ist, dass sie einfach zu erstellen und zu warten sind, sowie dass sie von DevOps-Teams entwickelt und getestet werden können, so dass sie schnell an Marktanforderungen angepasst werden. Doch die gemeinsame Nutzung von Bibliotheken von Drittanbietern setzt Unternehmen dem Risiko fehlerhaften Codes aus, und Cyberkriminelle sind dafür bekannt, versteckte Schadsoftware in diese Repositories einzufügen.

Zeit für einen Wandel

Für Unternehmen bedeutet all dies, dass die Nutzung der Cloud Hand in Hand mit Cybersicherheit gehen muss. Trend Micro stellte in einer kürzlich durchgeführten Forschungsarbeit fest, dass einem Drittel der befragten Unternehmen Sicherheitsteams beim Start von DevOps-Projekten leider nicht involviert waren, wobei 72% der IT-Leiter die Ansicht vertraten, dass diese Tatsache zu Cyberrisiken für das Unternehmen führt. Werden die oben genannten Probleme nicht angegangen, könnte dies zu hohen Datenverlusten, Service-Ausfällen und allen damit verbundenen Risiken für finanzielle und rufschädigende Auswirkungen führen.

Als guter Ausgangspunkt für eine Änderung der Situation empfiehlt es sich, dass Verantwortliche das Modell der geteilten Verantwortung verstehen und in den Cloud-Verträgen vollständig zu klären, welche Teile der Cloud-Umgebung das Unternehmen selbst sichern muss. Als Nächstes sollten sich die Sicherheitsmanager Tools für das Cloud Security Posture Management (CSPM) ansehen, um einen entscheidenden Einblick in ihre bestehende Infrastruktur zu erhalten und um herauszufinden, wo wichtige Fehlkonfigurationen vorhanden sind. Auch sollten sie in Betracht ziehen, die Leistungsfähigkeit der Infrastructure-as-Code für die Sicherheit zu nutzen, mit API-gesteuerten Diensten, die Kontrollmechanismen nahtlos in die DevOps-Pipelines einbetten, um Bedrohungen vor und während der Laufzeit zu erkennen.

Es gibt kein Zurück zu den Gewissheiten von früher. CISOs müssen sich daher das Neue zu eigen machen und einen Weg finden, das Cyberrisiko zu minimieren, ohne Innovation und Geschäftswachstum zu beeinträchtigen.

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

Internet Safety for Kids – Trend Micro Workshop-Reihe erobert Österreich

Kinder wachsen in einer Welt auf, in der das Online-Sein ein normaler Teil des täglichen Lebens ist. Um sich auch sicher im Netz zu bewegen, veranstaltet Trend Micro seit 2008 Aufklärungs- und Awareness-Workshops. Vor kurzem waren die Trend Micro Experten erstmals in einer Wiener Schule zu Besuch und zeigten den Schülerinnen und Schülern, wie verantwortungsvolles Verhalten im Internet aussieht. 

Das Aufwachsen in der digitalen Welt geht nicht nur mit neuen Möglichkeiten einher, sondern stellt Kinder auch vor die Herausforderung, mit Risiken kompetent umgehen zu lernen. Es mag zwar häufig so aussehen, dass gerade Kinder Technologieexperten sind, aber in Wirklichkeit sind sie besonders anfällig für Gefahren im Netz, von Malware und Ransomware bis zu Bedrohungen in Social Media, gefälschten Informationen und Cybermobbing. Diesen Themen widmet sich Trend Micro mit seinem Programm „Internet Safety for Kids“. Seit 2008 vermitteln Trend Micro Experten weltweit Informationen dazu, wie Kinder und Jugendliche Online-Risiken vermeiden und bewältigen können. Seit heuer schafft Trend Micro auch an Österreichs Schulen, und damit dem 20. Land,  Bewusstsein für digitale Sicherheit. Der erste Workshop fand an der Neuen Mittelschule Roda-Roda-Gasse im 21. Bezirk in Wien statt.

„Unser Ziel ist es, Kinder und Jugendliche über die Initiative von Trend Micro darauf vorzubereiten, sich sicher in der digitalen Welt zu bewegen. Bisher haben wir mit unserem Programm weltweit mehr als 2,68 Millionen Kinder, Studenten und Pädagogen erreicht, einen Grossteil davon dank unseres Netzwerks aus über 900 Freiwilligen auf der ganzen Welt. Es freut uns sehr, dass der Workshop auch in Österreich auf grosses Interesse gestossen ist und von den Kindern interessiert angenommen wurde“, so Michael Unterschweiger, Regional Director ALPS bei Trend Micro.

Digitale Kompetenz lernen

Wie können sich Kinder und Jugendliche sicher im Web bewegen? Welche Fertigkeiten müssen sie erlernen, um das digitalisierte Leben zu meistern? Welche Konsequenzen hat ihr Handeln von heute für das digitale Gedächtnis von morgen? Diese und weitere wichtige Fragestellungen diskutierten die Trend Micro Experten mit den Schülerinnen und Schülern. Durch den interaktiven Charakter des Workshops, praktische Beispiele und die einfache und verständliche Erklärung von aktuellen und relevanten Themen wurde den Kindern vermittelt, sich aufmerksam mit Online-Inhalten auseinanderzusetzen und diese kritisch zu hinterfragen. 

Die Vermittlung von digitaler Kompetenz befürwortet auch Dipl.-Päd. Martin Szlama, Direktor der NMS Roda-Roda-Gasse: „Ein gemeinschaftlicher Ansatz, der Kindern beibringt, selbst kritisch darüber nachzudenken, was sie online sagen, tun und austauschen, ist wichtiger denn je. Klar ist, dass das ‚www‘ heutzutage genauso wesentlich ist wie das ‚ABC‘. Daher haben wir das Angebot des kostenlosen Workshops von Trend Micro gerne angenommen, um unsere Schülerinnen und Schüler auf mögliche Online-Risiken zu sensibilisieren.“

Data Protection Day: the 2020s can be the decade of privacy-by-design everywhere

Internet trends come and go. But one concept that has steadily gathered momentum over the past decade is that of data protection and privacy. It’s now enshrined in EU law thanks to the GDPR, and today consumers and businesses are far more aware than they’ve ever been about their rights and responsibilities online. That’s why the coming decade offers a fantastic opportunity to embed privacy-by-design principles into every single organisation. But there’s still much to do, to raise awareness and change behaviours, especially among corporates.

That’s why Trend Micro is a proud sponsor and champion of the annual Data Privacy Day initiative, which is celebrated around the world on 28 January.

Back to the beginning

It was on this day way back in 1981 that the Council of Europe opened for signature Convention 108, the first legally binding international treaty dealing with privacy and data protection. The first European Data Protection Day was held in January 2007 to drive greater engagement with online privacy issues, and the rest is history. 

Over the past 13 years, countless organisations have come unstuck in a very public manner. From a now-infamous HMRC blunder in 2007 to 2018’s Cambridge Analytica scandal, each incident has highlighted the potentially catastrophic impact of negligent data protection programmes. Yet these incidents have also raised public awareness and galvanised lawmakers. Thanks to the GDPR, European citizens are more in control of their personal data than they have ever been, while businesses must clear a high bar to prove they are responsible custodians of that data.  

Still work to do

But there’s still much to do. Highly sensitive personal browsing data is still shared across the adtech digital supply chain billions of times a day without any consent from consumers. Social media companies continue to harvest vast troves of customer data, IoT devices and smart assistants listen to our most intimate conversations, and the growing pervasiveness of digital technology continues to raise concerns among worried parents. 

There are also concerns for businesses. GDPR compliance is no easy thing: its vague references to “state of the art” technology and focus on broad principles rather than prescriptive controls, mean there’s no simple tick-box solution here. For many, there’ll be no 100% way of knowing whether they’re compliant until an incident occurs and the company waits for an official verdict.

There have already been over 160,000 breach notifications across Europe since the regulation landed nearly two years ago, leading to fines of €114m (£94m). These will certainly ramp up, as regulators across the region sharpen their knives. The ICO has already stated its intent to fine Marriott International and BA a combined £282m for serious breaches at the companies.

What happens next?

For now, this means that organisations must ensure their data protection policies are aligned with the GDPR, even in post-Brexit Britain. They must focus on best practice approaches and frameworks like those produced by NIST, Cyber Essentials and ISO. And they must look to partner with the right security experts: vendors that can offer multi-layered protection across all parts of the IT infrastructure, from endpoint to servers, networks to web and email gateways. The end goal is privacy-by-design: a commitment to embedding data protection into everything an organisation does.

At Trend Micro, we sit on both sides of the data privacy debate. Our Internet Safety for Kids and Families (ISKF) programme has offered vital resources for concerned parents for over a decade. But we also provide expert advice and support for organisations struggling to navigate a complex regulatory landscape while ensuring they do right by their customers. 

As a Data Privacy Day Champion, we’re working hard on both fronts — to ensure consumers know their rights, and have the tools and knowledge to stay safe online, and that businesses have the right controls and processes in place to meet their data protection responsibilities. As we travel through a new decade, there’s still plenty of work to do.