Schlagwort-Archive: Ausspionieren

Fehlkonfigurationen: Das grösste Sorgenkind der Cloud-Sicherheit 2021

Originalartikel von Mark Nunnikhoven, VP Cloud Research

Die Cloud steckt voller neuer Möglichkeiten. So können Anwender etwa mit einem einzigen Befehl das Pendant eines ganzen Datacenters starten. Die Skalierung, um die Anforderungen von Millionen von Kunden zu erfüllen, kann vollständig automatisiert erfolgen. Erweiterte Machine Learning-Analysen sind so einfach wie ein API-Aufruf. Damit sind Teams in der Lage, Innovationen zu beschleunigen und sich fast ausschliesslich darauf zu konzentrieren, Geschäftswert zu generieren. Doch so einfach, wie es scheint, ist es nicht.

Es war zu erwarten, dass neben diesem Steigerungspotenzial auch die Sicherheitsherausforderungen zunehmen, die es bei On-Premises gibt, und Teams mit Zero-Days, Schwachstellenketten und Schatten-IT zu kämpfen haben würden. Doch stellt sich heraus, dass diese Probleme nicht ganz oben auf der Sorgenliste stehen.

Den grössten Kummer bereiten Fehler in Form von Service-Fehlkonfigurationen.

Geteilte Verantwortung

Viele Unternehmen denken, hinsichtlich der Cloud-Sicherheit sind die Cloud Service Provider selbst ein grosses Risiko. Doch gibt es keine Zahlen, die diese Annahme bestätigen. Alle vier grossen Service Provider Alibaba Cloud, AWS, Google Cloud und Microsoft Azure hatten in den letzten fünf Jahren zwei Sicherheitsverletzungen bei ihren Diensten … alle zusammen.

Dennoch sollte nicht vergessen werden, dass jeder dieser Service Provider im Laufe der Jahre mit einer Vielzahl an Sicherheitsschwachstellen fertig zu werden hatte. Die beiden oben erwähnten Sicherheitsvorfälle hatten eine Fehlkonfiguration als Ursache. Der erste stammt von März 2020 und betraf Google Cloud, der zweite passierte im Januar 2020 und traf Microsoft Azure. Weitere Einzelheiten dazu beinhaltet der Originalbeitrag.

Viele Cloud-Dienste sind einfach verwaltete Service-Angebote von gängigen kommerziellen oder Open-Source-Projekten. Diese Projekte hatten verschiedene Sicherheitsprobleme, mit denen sich die Anbieter auseinandersetzen mussten.

Der Vorteil der Cloud für Benutzer oder Builder liegt darin, dass alle operativen Arbeiten – und Sicherheit ist operative Arbeit – in jeder Cloud dem Shared Responsibility Model folgt. Darin gibt es sechs Bereiche, in denen betriebliche Arbeiten erforderlich sind. Abhängig von der genutzten Art des Service wechseln die Verantwortlichkeiten. Nutzt ein Unternehmen Instanzen oder virtuelle Maschinen, so ist es für das Betriebssystem, die darauf laufenden Anwendungen und die Daten verantwortlich. Im Fall eines vollständig gemanagten Service ist das Unternehmen für die Sicherheit der Daten, die in dem Service verarbeitet und vorgehalten werden, zuständig. Für alle Arten von Cloud-Services liegt die Verantwortung für die Dienstkonfiguration beim Unternehmen.

Trotz klarer Zuständigkeiten bieten die Provider eine Reihe von Funktionen, die Unternehmen bei der Erfüllung ihrer Aufgaben unterstützen und die Dienste an ihre Bedürfnisse anpassen.

Es gibt zahlreiche Belege dafür, dass Fehlkonfigurationen das grösste Problem bei der Cloud-Sicherheit sind. Sicherheitsforscher, -anbieter oder Branchenorganisationen stimmen in den Ergebnissen überein:

65% — 70%  aller Sicherheitsprobleme in der Cloud starten mit einer Fehlkonfiguration. 45% der Organisationen glauben, dass Vertraulichkeits- und Sicherheitsherausforderungen ein Hindernis für die Migration in die Cloud darstellen. Das ist schade, denn wird das Shared Responsibility Model richtig verstanden, so ist es einfacher, eine robuste Sicherheitsposition aufrechtzuerhalten. Organisationen sollten darauf drängen, schneller in die Cloud zu wechseln, um ihre Sicherheit zu verbessern.

Tempo des Wandels

Fehlkonfigurationen sind nichts anderes als Fehler. Manchmal sind diese Fehler ein Versehen, ein anderes Mal eine falsche Wahl, die aus mangelndem Sicherheitsbewusstsein getroffen wurde. Alles hängt mit den Fähigkeiten zusammen, die die Cloud zugänglich macht und zu einer entsprechenden Steigerung des Innovationstempos geführt hat.

Mit der Zeit werden die Teams schneller und können Innovationen mit einer geringen Fehlerquote erreichen. Tatsächlich sind 43 % der Teams, die eine DevOps-Philosophie eingeführt haben, in der Lage, mindestens einmal pro Woche Code bereitzustellen und dabei eine Fehlerquote von unter 15 % beizubehalten.

Und wenn doch einmal ein Fehler auftritt, können sie ihn innerhalb eines Tages beheben. Noch beeindruckender ist, dass 46 % dieser Teams in der Lage sind, die Probleme innerhalb einer Stunde zu beheben. Leider ist auch bekannt, dass Cyberkriminelle weniger als einen Tag brauchen, und jede Lücke kann ausreichen, damit sie in den Unternehmenssystemen Fuss fassen und einen Vorfall verursachen.

Die anderen 57 % der Teams, von denen die meisten grosse Unternehmen sind, haben oft das Gefühl, dass ihr mangelndes Tempo Schutz bietet. Ein vorsichtiges Vorgehen in der Cloud ermöglicht ihnen eine massvollere Herangehensweise und reduziert ihre Fehlerquote. Das mag zwar stimmen, aber um sie herum findet dennoch ein Wandel statt. Die Cloud-Service-Provider selbst bewegen sich in einem rasanten Tempo.

Im Jahr 2020 haben die vier grossen Hyperscale-Anbieter über 5.000 neue Funktionen für ihre Dienste veröffentlicht.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/the-top-worry-in-cloud-security-for-2021/04-the-worry-in-cloud-security-for-2021.jpg

Für Single-Cloud-Anwender bedeutet das fast zwei neue Funktionen pro Tag … Minimum. Für die wachsende Zahl von Multi-Cloud-Benutzern nimmt das Tempo der Veränderungen noch zu.

Selbst wenn sich Ihr Team also langsam bewegt, verschiebt sich der Boden unter ihm schnell.

Ziel der Cybersicherheit

Das Ziel der Cybersicherheit ist eigentlich ziemlich einfach: Sicherstellen, dass das, was gebaut wurde, wie angedacht funktioniert und nur so.

In einer traditionellen On-Premises-Umgebung besteht dieser Standardansatz aus einem starken Perimeter und einer weitreichenden Sichtbarkeit über das gesamte Unternehmen hinweg. In der Cloud funktioniert das nicht. Das Tempo der Veränderungen ist zu schnell, sowohl intern als auch beim Provider. Kleinere Teams bauen mehr und mehr auf. Oft agieren diese Teams von vornherein ausserhalb der zentralen CIO-Infrastruktur.

Dies macht es erforderlich, dass die Sicherheit wie ein weiterer Aspekt eines guten Gebäudes behandelt wird. Sie kann nicht wie eine eigenständige Aktivität gehandhabt werden. Das klingt nach einer monumentalen Aufgabe, ist es aber nicht. Hier erweisen sich Sicherheitskontrollmechanismen als sehr wertvoll.

Geht es um Sicherheitskontrollmechanismen, so spricht man meistens darüber, was sie stoppen. Die Verwendung eines Intrusion Prevention Systems kann Würmer und andere Arten von Netzwerkangriffen stoppen. Anti-Malware-Schutzmassnahmen können Ransomware, Cryptominers und andere bösartige Verhaltensweisen stoppen, usw. Das ist hervorragend und funktioniert gut mit den Sicherheitsteams.

Builder jedoch haben eine andere Perspektive. Im richtigen Kontext ist es einfach zu zeigen, wie Sicherheitskontrollmechanismen ihnen helfen können, besser zu bauen. Das Posture Management stellt sicher, dass die Einstellungen erhalten bleiben, unabhängig davon, wie oft ein Team im Laufe der Woche Deployments durchführt. Netzwerkkontrollen stellen sicher, dass nur gültiger Datenverkehr den Code erreicht. Die Container-Zugangskontrolle stellt sicher, dass der richtige Container zur richtigen Zeit bereitgestellt wird.

Sicherheitskontrollmechanismen tun so viel mehr, als nur zu verhindern, dass etwas passiert. Sie geben Antworten auf kritische Fragen, die sich Entwickler immer öfter stellen. Zwei Kernfragen sind es:

  1. Was kann dieser Code sonst noch tun? (Sehr wenig dank der Sicherheitskontrollmechanismen)
  2. Bist Du Dir sicher? (Ja, ich setze die Mechanismen  ein, um sicherzugehen)

Wenn sie gut entwickelt und intelligent eingesetzt werden, helfen Sicherheitskontrollmechanismen den Teams, Lösungen zu liefern, die zuverlässiger, einfacher zu beobachten und verlässlicher sind.

Sicherheit hilft, besser zu bauen.

Gefahr durch die DoppelPaymer Ransomware

Originalbeitrag von Trend Micro Research

Im Dezember 2020 gab das FBI eine Warnung bezüglich DoppelPaymer heraus. Es handelt sich um eine Ransomware-Familie, die 2019 zum ersten Mal mit Angriffen auf Unternehmen in kritischen Branchen auffiel. Ihre Aktivitäten setzten sich auch 2020 fort, einschliesslich einer Reihe von Vorfällen in der zweiten Jahreshälfte, die die Geschäftsabläufe der Opfer empfindlich störten. Was macht diese Ransomware aus?

Dem FBI zufolge greift DoppelPaymer in erster Linie Unternehmen im Gesundheitswesen, Rettungsdienste und im Bildungswesen an. Die Ransomware war besonders aktiv im September und legte beispielweise die Kommunikation und den allgemeinen Betrieb in der Uniklinik Düsseldorf lahm.

Es wird angenommen, dass DoppelPaymer auf der BitPaymer Ransomware (die 2017 zuerst gesichtet wurde) beruht, weil es Ähnlichkeiten im Code, bei den Lösegeldforderungen und Zahlungsportalen gibt. Neben einigen anderen Unterschieden fällt auch auf, dass die Verschlüsselungsgeschwindigkeit von DoppelPaymer durch den Einsatz von Threaded Dateiverschlüsselung verbessert wurde.

DoppelPaymer benötigt korrekte Befehlszeilenparameter, bevor die Schadsoftware ihre bösartigen Routinen ausführt. Die Samples zeigen unterschiedliche Parameter. Diese Technik wird möglicherweise von den Angreifern verwendet, um eine Entdeckung durch Sandbox-Analysen zu vermeiden und um Sicherheitsforscher daran zu hindern, die Samples zu untersuchen. Der vielleicht außergewöhnlichste Aspekt der Schadsoftware ist die Verwendung eines Tools namens ProcessHacker, mit dem die Ransomware Dienste und Prozesse beendet, um Zugriffsverletzungen während der Verschlüsselung zu verhindern.

Wie bei vielen modernen Ransomware-Familien sind die Lösegeldforderungen von DoppelPaymer für die Entschlüsselung von Dateien mit 25.000 Dollar bis 1,2 Millionen Dollar beträchtlich. Darüber hinaus betreiben die Hintermänner seit Februar 2020 eine Data Leak-Seite und drohen den Opfern  mit der Veröffentlichung ihrer gestohlenen Dateien als Teil der Erpressung.

Die Routine der Ransomware

Bild. DoppelPaymers Infektionsroutine

DoppelPaymer nutzt eine ziemlich ausgefeilte Routine, die mit einer Infiltrierung des Netzwerks über bösartige Spam Mails startet. Sie beinhaltet Spear Phishing Links oder Anhänge, über die die Opfer geködert werden sollen, bösartigen Code auszuführen. Der wiederum lädt weitere Malware mit fortgeschrittenen Fähigkeiten (etwa Emotet) ins betroffene System. Emotet kommuniziert anschliessend mit seinem Command-and-Control (C&C)-Server, installiert verschiedene Module und lädt weitere Malware herunter, die er ausführt.

Bei der DoppelPaymer-Kampagne wurde der C&C-Server zum Herunterladen und Ausführen der Dridex-Malware-Familie verwendet, die wiederum entweder DoppelPaymer direkt oder Tools wie PowerShell Empire, Cobalt Strike, PsExec und Mimikatz herunterlädt. Jedes dieser Tools wird für verschiedene Aktivitäten verwendet, z. B. zum Stehlen von Anmeldeinformationen, zur lateralen Bewegung innerhalb des Netzwerks und zum Ausführen verschiedener Befehle, wie Deaktivieren von Sicherheitssoftware.

Wenn Dridex in das System eindringt, führen die Angreifer die Ransomware nicht sofort aus, sondern die Schadsoftware versucht, sich lateral im Netzwerk des betroffenen Systems zu bewegen, um ein wertvolles Ziel zu finden, von dem sie wichtige Informationen stehlen kann. Erst wenn dieses Ziel gefunden ist, führt Dridex seine endgültige Payload, DoppelPaymer, aus. Diese verschlüsselt die im Netzwerk gefundenen Dateien, sowie feste und Wechsellaufwerke im betroffenen System.

Schliesslich ändert die Ransomware die Benutzerkennwörter, bevor sie einen Systemneustart in den abgesicherten Modus erzwingt, um zu verhindern, dass der Benutzer das System verlässt. Dann ändert sie den Hinweistext, der erscheint, bevor Windows zum Anmeldebildschirm übergeht. Der neue Hinweistext enthält nun die Lösegeldforderung, die Benutzer davor warnt, das System zurückzusetzen oder herunterzufahren sowie die verschlüsselten Dateien zu löschen, umzubenennen oder zu verschieben. Der Hinweis enthält auch die Drohung, die sensiblen Daten der Öffentlichkeit zugänglich zu machen, sollte das geforderte Lösegeld nicht bezahlt werden.

Empfehlungen zum Schutz vor DoppelPaymer

Unternehmen können sich vor Ransomware wie DoppelPaymer schützen, wenn sie die Security Best Practices befolgen:

  • Nicht Öffnen von ungeprüften E-Mails und kein Anklicken von in der Mail eingebetteten Links oder Anhänge
  • Regelmässiges Backup wichtiger Dateien nach der 3-2-1-Regel: Drei Kopien in zwei unterschiedlichen Dateiformaten, Ablage eines der Backups an einem separaten physischen Standort.
  • Sowohl Software als auch Anwendungen mit den neuesten Patches aktualisieren, und das so schnell wie möglich.
  • Sicherstellen, dass Backups geschützt und abgekoppelt vom Netzwerk sind.
  • Auditieren der Nutzerkonten in regelmässigen Abständen – vor allem diejenigen Konten, die öffentlich zugänglich sind, wie etwa Remote Monitoring und Management.
  • Monitoring des ankommenden und abgehenden Netzwerkverkehrs, mit Alerts bei Datenexfiltrierung.
  • Implementieren von Zweifaktor-Authentifizierung.
  • Einsetzen des Prinzips der geringsten Privilegien für Dateien, Verzeichnisse und Netzwerkfreigaben.

Der Originalbeitrag enthält auch die Indicators of Compromise (IOCs).

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Sicherheit für IoT Apps

von Trend Micro

Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer grösseren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.

Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schliesslich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.

Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.

Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)

Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:

  • Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
  • Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
  • Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
  • Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmässig aktualisiert und gepatcht werden müssen.
  • Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
  • Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.

Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmassnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.

Schutz vor den Bedrohungen

Mit dem zunehmenden Einsatz von Geräten  gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Massnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:

  • Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
  • Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermässig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
  • Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
  • Das Betriebssystem von Anwendungen und Geräten regelmässig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmässig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schliessen.
  • Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmässig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Massnahme. Auf diese Weise können Administratoren den regelmässigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmässigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmassnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
  • Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
  • Ändern aller standardmässigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
  • Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.

Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Künstliche Intelligenz in den Händen von Cyberkriminellen

Von Trend Micro

Im Jahr 2020 nutzten bereits 37% der Unternehmen und Organisation in irgendeiner Form Künstliche Intelligenz (KI) in ihren Systemen und Prozessen. KI) macht sich noch nie dagewesene Datenmengen zunutze und hat in allen Anwendungsbereichen Potenzial. Sie verspricht die Bewältigung einer Reihe komplexer globaler Herausforderungen. Maschinelles Lernen (ML), ein Teilbereich der KI, soll Computersysteme in die Lage versetzen, aus Daten zu „lernen“ — d.h. die Leistung bei einer bestimmten Aufgabe nach und nach zu verbessern, ohne dass explizite Anweisungen von Menschen erforderlich sind.

Zwar bringen KI- und ML-Algorithmen enorme Vorteile, doch gibt es auch eine Kehrseite der Medaille, denn sie sind ebenso für eine Reihe von digitalen, physischen und politischen Bedrohungen und Formen der Cyberkriminalität verantwortlich. In einem gemeinsamen Forschungsprojekt haben Trend Micro, das Interregionale Forschungsinstitut der Vereinten Nationen für Kriminalität und Justiz (UNICRI) sowie Europol verschiedene bösartige Szenarien untersucht, in denen heute und möglicherweise auch in Zukunft KI und ML eingesetzt werden. Des Weiteren befassten sich die Partner mit den möglichen Gegenmassnahmen und Empfehlungen zur Minderung von Risiken, Bedrohungen und Angriffen, die von KI und ML ausgehen.

So können Kriminelle zum Beispiel KI einsetzen, um ihre Angriffe zu erleichtern und zu verbessern, um in kürzerer Zeit höhere Profite zu erzielen, neue Opfer auszubeuten und innovativere kriminelle Geschäftsmodelle zu entwickeln und gleichzeitig die Risiken zu verringern, erwischt zu werden.

Darüber hinaus wird KI, wenn es auch -as-a-Service sich zunehmend verbreitet die Eintrittshürden für kriminelle Taten senken, weil damit die für den Einsatz von KI erforderlichen Fähigkeiten und technischen Kenntnisse grossenteils wegfallen.

Missbrauch von ML und KI heute

Der Einsatz von KI für höhere Effektivität von Malware steckt noch in den Kinderschuhen. Die Forschung wird immer noch akademisch vorangetrieben, und Angriffe sind meist theoretischer Natur und werden von Sicherheitsforschern als Machbarkeitsnachweis konzipiert. Dennoch unternehmen böswillige Akteure bereits Schritte in Richtung KI-gestützte oder KI-verstärkte Cyberangriffstechniken. Diese sollten weiterhin unter Beobachtung stehen, um sie zu stoppen und sich so früh wie möglich auf zukünftige Angriffe vorzubereiten, bevor die neuartigen Angriffe zunehmen.

Noch können Malware-Entwickler KI im Verborgenen nutzen, ohne von Forschern und Analysten entdeckt zu werden. Infolgedessen ist es nur möglich, nach sichtbaren Anzeichen zu suchen, die von KI-Malware-Aktivitäten erwartet werden können. Ein Typus von Malware-bezogenem KI-Exploit bedient sich KI-basierter Techniken, die darauf abzielen, die Wirksamkeit „traditioneller“ Cyberattacken zu verbessern. So gab es Vorführungen, wie eine Mail-Nachricht Spam-Filter umgehen kann, indem sie generative Grammatik zur Erzeugung eines grossen Datensatzes von E-Mail-Texten mit hoher semantischer Qualität nutzen. Diese Texte werden dann zum Verwirren des Antispams verwendet. System und passen sich an verschiedene Spam-Filter an, um Inhalte zu identifizieren, die durch die Spam-Filter nicht mehr erkannt werden.

Eine der heute beliebtesten und sichtbarsten bösartigen Anwendungen von KI ist die „Deepfake“-Technologie, bei der KI-Techniken eingesetzt werden, um Audio- und visuelle Inhalte so zu gestalten oder zu manipulieren, dass sie authentisch erscheinen. Andere nennenswerte Beispiele sind Tools, die das reale Nutzerverhalten bei Diensten wie Spotify nachahmen können, um zu verhindern, dass gestohlene Konten gelöscht werden.

KI kann auch dazu missbraucht werden, um CAPTCHA-Sicherheitssysteme zu auszuschalten, die häufig auf Websites verwendet werden, um schädliche Aktivitäten zu verhindern. XEvil 4.0, ein Werkzeug, das neuronale Netzwerke zur Lösung von CAPTCHAs verwendet, wird in russischen Untergrundforen beworben und kann an Benutzer vermietet werden.

Künftiger Missbrauch von ML und KI

Zusätzlich zur schrittweisen Integration von KI-Techniken zur Verbesserung des Umfangs und der Grössenordnung ihrer Cyberangriffe können Kriminelle KI sowohl als Angriffsvektor als auch als Angriffsfläche ausnutzen. Dank des service-basierten kriminellen Geschäftsmodells könnten die Entwicklung und der Vertrieb von KI-fähigen Toolkits in Untergrundmärkten weniger technologisch versierten Kriminellen erweiterte Möglichkeiten bieten.

Angriffe auf derzeitige KI-Engines sind denkbar, um die Entscheidungsfindung der KI-Engine zu beeinflussen. Dies betrifft insbesondere Schutzsysteme, wie Betrugserkennung, AV-Systeme oder Gesichtserkennung. Der Angreifer könnte die Engine oder die Datensätze korrumpieren, so dass ihre „Erkennungen“ nicht mehr vertrauenswürdig sind.

Eine der künftigen Möglichkeiten von ML in den Händen Cyberkrimineller wäre der Missbrauch von ML-geleitete Bilderkennungstraining in selbst fahrenden Fahrzeugen. In einer von einer Sicherheitsfirma durchgeführten Untersuchung wurde ein kleines Stück schwarzes Klebeband auf einem Schild mit einer Geschwindigkeitsbegrenzung von 35 Meilen pro Stunde so angebracht, dass das Bilderkennungsmodell „35“ mit „85“ verwechselte.

KI-betriebene Gesichtserkennungsdrohnen, die ein Gramm Sprengstoff mit sich führen, werden derzeit entwickelt. Diese Drohnen sind speziell für Bombenangriffe auf Mikroziele oder Einzelpersonen gedacht. Sie werden in der Regel auch über das Mobilfunknetz betrieben und sind so konstruiert, dass sie wie Insekten oder kleine Vögel aussehen. Es ist davon auszugehen, dass diese Technologie in naher Zukunft von Kriminellen genutzt werden wird.

Empfehlungen

Ziel dieser Forschung ist es, Verantwortlichen die Auswirkungen von ML- und KI-aktivierten bösartigen Aktivitäten, Angriffen, Bedrohungen und Risiken vor Augen zu führen. Zudem kann die enge Zusammenarbeit zwischen der Industrie und der akademischen Welt dazu beitragen, das Bewusstsein für die potentielle Nutzung und den potentiellen Missbrauch der KI durch Kriminelle zu schärfen und einen Wissensfundus dazu zu entwickeln. Das Wissen über die Fähigkeiten, Szenarien und Angriffsvektoren mit ML und KI ist der Schlüssel zur Verbesserung der Abwehrbereitschaft, zur Erhöhung der Widerstandsfähigkeit und zur Gewährleistung der positiven Nutzung dieser Technologien.