Schlagwort-Archive: Ransomware

Bekämpfung von Bedrohungen wie Ryuk mittels Trend Micro XDR

von Trend Micro

Bedrohungen, die mehrere Ebenen der Infrastruktur einer Firma treffen, sind heutzutage weit verbreitet. Unternehmen setzen für deren Erkennung und Reaktion darauf häufig Sicherheitstools ein, die sich lediglich auf einzelne Bereiche und nicht auf das gesamte System konzentrieren. Einige Unternehmen haben auch Security Information and Event Management (SIEM)-Tools im Einsatz, um die verschiedenen Bedrohungen zu aggregieren. SIEM-Lösungen sind zwar effektiv, doch ist deren Betrieb oft teuer. Darüber hinaus erfordern sie häufig das Sichten grosser Datenmengen für Korrelation und Analyse durch die Security Operation Center (SOCs). Andere Sicherheitslösungen wiederum verfügen zwar über leistungsstarke Erkennungs- und Reaktionsfähigkeiten, doch fehlt ihnen die Telemetrie, die für den Blick über den Tellerrand erforderlich ist. Der Beitrag stellt anhand eines realen Beispiels dar, mit welcher Art der Bedrohungen SOCs fertig werden müssen und welche Art der Sicherheitslösung für das Handling dieser Bedrohungen benötigt wird.

Ryuk: eine heutige Bedrohung

Ryuk gehört zu den auffallendsten Ransomware-Familien der letzten Zeit. Sie verkörpert möglicherweise am besten das neue Paradigma der Ransomware-Angriffe, bei denen böswillige Akteure Qualität vor schiere Quantität stellen.

Oberflächlich betrachtet unterscheidet sich Ryuk kaum von anderen Ransomware-Familien der Vergangenheit. Sie verschlüsselt weiterhin wichtige Dateien, Dokumente und andere sensitive Daten. Doch einen auffallenden Unterschied zu anderen gibt es: Während andere Ransomware wahllos Opfer mit einer wie mit einer Schrotflinte angeht, zielen die Cyberkriminellen mit Ryuk auf ganz bestimmte Unternehmen, von denen sie ein viel höheres Lösegeld verlangen. Da die Akteure häufig hinter äusserst sensiblen Informationen etwa in der Finanzbranche und dem Militär her sind, bleibt den Opferorganisationen oft nichts anderes übrig, als die beträchtliche Lösegeldsumme zu zahlen.

2019 untersuchten Trend MicroManaged XDR and Incident Response-Teams einen Vorfall eines Kunden, der mit Ryuk-Ransomware infiziert war. Diese Infektion umfasste mehrere Ebenen der Kompromittierung, darunter mehrere Endpunkte und das Netzwerk des Unternehmens. In diesem Fall bestand Ryuks Routine aus E-Mails als Infektionsvektor, um zum Endpunkt zu gelangen. Von dort aus verbreitete sie sich auf den Rest des Netzwerks.

Die Infektion begann mit einer bösartigen Spam-Mail, die an einen Mitarbeiter der Organisation geschickt wurde mit einen bösartigen Anhang – ein Downloader für TrickBot -, der sich innerhalb des Netzwerks auf zwei Wegen verbreiten kann: entweder durch den berüchtigten EternalBlue-Exploit (der auch bei den WannaCry-Angriffen von 2017 verwendet wurde) oder durch gestohlene Zugangsdaten.

Im Fall des besagten Kunden nutzte TrickBot nach dem Download ins System angreifbare Router aus und verwendete sie als Command-and-Control (C&C)-Server zum Austausch von Anleitungen. Zudem legte TrickBot Ryuk als Payload ab.

Die TrickBot-Module weisen auch Fähigkeiten für den Informationsdiebstahl auf, so dass die Malware in jeder Opfer-Organisation deren Dateien verschlüsseln und ihre Informationen stehlen  kann. Und das führt zu Schäden, die weit über das hinausgehen, was normale Ransomware-Familien anrichten können.

Hier war Trend Micro Managed XDR in der Lage, die kompromittierten Rechner und die Angriffskette zu identifizieren, indem Daten aus verschiedenen Quellen gesammelt wurden, um so ein klareres Bild davon zu erhalten, womit die Organisation es zu tun hatte.

Trend Micro XDR: auf fortgeschrittene Bedrohungen zugeschnitten

Trend Micro XDR ist darauf ausgerichtet, alle Bedrohungen wie Ryuk mithilfe von Machine Learning und Analytics für die Korrelation verschiedener Vorfälle über mehrere Ebenen hinweg zu bekämpfen. Die XDR-Lösung gibt es entweder als Plattform oder als Managed Service über Trend Micro Managed XDR, die sich den gesamten Wissens- und Erfahrungsschatz der Sicherheitsexperten von Trend Micro zunutze macht, um rund um die Uhr Alarme zu überwachen und Prioritäten zu setzen sowie Recherchen und Suchen nach Bedrohungen durchzuführen.

Die Lösung unterstützt Unternehmen dabei, Strategien zur Erkennung und Reaktion auf Bedrohungen zu implementieren. Die Herausforderungen für Unternehmen bestehen unter anderem in folgenden Punkten:

  • Teure und oft miteinander unvereinbare Sicherheitswerkzeuge, die für die Datenaggregation und -analyse benötigt werden. Ein traditionelles SOC-Setup verwendet mehrere Softwarepakete mit unterschiedlichen Methoden zur Speicherung und Indizierung von Daten – die sich auf verschiedene Teile des Systems konzentrieren. Der Silo-Charakter dieser Tools führt dazu, dass Sicherheitsanalytiker Daten manuell korrelieren müssen, was eine zusätzliche Belastung für ihren Arbeitsablauf darstellt.
  • Endpoint Detection and Response (EDR)-Lösungen, die nicht über die gesamte Telemetrie-Palette verfügen, um den ganzen Umfang eines Angriffs zu erkennen.
  • Die zu lange Zeitspanne, die für Fragen von hoher Priorität aufgewendet wird. Das bedeutet, dass die Stärkung und Verbesserung der Sicherheitsprozesse und der Systeminfrastruktur in den Hintergrund treten.

Durch den Einsatz von maschinellem Lernen, fachkundiger Sicherheitsanalyse und Erkennungsregeln für die Korrelation und Priorisierung von Warnmeldungen kann Trend Micro XDR das SOC einer Organisation dabei unterstützen, den Zeitaufwand für die Überprüfung und Recherche zu verringern und dadurch schnellere Erkennungs- und Reaktionsmöglichkeiten zu schaffen. Es nutzt die von jedem Vektor gesammelten Telemetriedaten, um Sicherheitsanalysten einen vollständigen Einblick in laufende Angriffe zu ermöglichen und gleichzeitig die XDR-Analyse-Engine für eine schnellere und effektivere Reaktionsstrategie bei künftigen Angriffen zu verbessern.

Trend Micro XDR nutzt einen facettenreichen Ansatz, der auf mehreren Ebenen des Systems arbeitet:

E-Mails

Trend Micro Cloud App Security kann den E-Mail Layer schützen durch den Einsatz von maschinellem Lernen für Webreputation und dynamische Analysen. Die Lösung kann verdächtige Inhalte nicht nur im Text sondern auch im Anhang erkennen. Sie bietet Sandbox-Analysen und Exploit-Erkennung für Dokumente.

Endpunkte

Trend Micro Apex One bietet fortschrittliche, automatisierte Erkennung und Abwehr zum Schutz der Endpunkte vor Bedrohungen wie Ransomware und dateilose Malware. Darüber hinaus kann es die von einem Angriff betroffenen Endpunkte mit Hilfe von anpassbaren Untersuchungs- und Überwachungsfunktionen auf Abruf identifizieren.

Netzwerk

Trend Micro Deep Discovery Email Inspector kann das Unternehmensnetzwerk überwachen, einschliesslich allen physischen, virtuellen Verkehrs. Die Lösung liefert mithilfe spezialisierter Erkennungs-Engines und anpassbarer Sandbox-Analyse vollständige Einsichten in alle Aspekte von fortgeschrittenen Bedrohungen.

Cloud

Trend Micro Cloud One – Workload Security schützt Cloud Workloads, Servers und Container vor Bedrohungen in kritischen Anwendungen, Betriebssystemen und Plattformen wie Docker und Kubernetes. Zu den eingesetzten Techniken gehören virtuelles Patching und maschinelles Lernen.

Die Infografik zeigt anhand des Ryuk-Beispiels, wie Trend Micro XDR jede Ebene eines Unternehmens schützt:

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Trend Micro Halbjahresbericht 2020: Sicherheit in pandemischen Zeiten

von Trend Micro

Die Covid-19-Pandemie hat die Cybersicherheitslandschaft in der ersten Hälfte 2020 stark geprägt. Während sich die Menschen an neue Arbeits- und Schulumgebungen anpassten, mussten Unternehmen für ihre Mitarbeiter Setups für die Arbeit zu Hause (Work-from-Home, WFH) schaffen und dabei dafür sorgen, dass deren Systeme auch sicher sind. Böswillige Akteure machten sich die Situation zunutze, indem sie das Thema Covid-19 für ihre Angriffe nutzten. Gruppen von Bedrohungsakteuren setzten ihre Kampagnen fort und dehnten ihre Reichweite auf neue Ziele und Plattformen aus, während sich die Betreiber von Ransomware weiterhin auf gezielte Angriffe konzentrierten. Trend Micro gibt in einer Zusammenfassung zur Jahresmitte 2020 den Überblick über die Trends und Ereignisse der ersten Jahreshälfte.

Böswillige Akteure haben schon immer gesellschaftlich relevante Ereignisse zur Durchsetzung ihrer Pläne genutzt, und bei Covid-19 ist das nicht anders. Die Sicherheitsforscher fanden eine Vielzahl von Vorfällen, in denen Cyberkriminelle pandemiebezogene Köder für ihre bösartigen Aktivitäten einsetzten, von relativ harmlosen Betrugsmaschen bis hin zu destruktiven Kampagnen, die fortgeschrittene Malware verbreiteten.

Der abrupte Wechsel auf WFH-Setups stellte Unternehmen vor zahlreiche Herausforderungen. Abgesehen von der Notwendigkeit, den Mitarbeitern die für die Aufrechterhaltung des Betriebs benötigten Werkzeuge zur Verfügung zu stellen, hatten Unternehmen mit Fragen der Kommunikation, Konnektivität und sogar der Zuweisung von IT-Ressourcen zu kämpfen.

Bild 1. Zahl und Verbreitung von Covid-19-Bedrohungen in der ersten Hälfte 2020

Ransomware-Betreiber konzentrieren sich auf ausgewählte Ziele

Ransomware hat sich von seinen opportunistischen Wurzeln, zu denen nicht personalisierte Spam-Kampagnen gehörten, zu einem gezielteren Ansatz entwickelt, bei dem oft der Diebstahl von Credentials und andere komplexe Techniken eingesetzt werden, um das Zielsystem zu kompromittieren. Die Hauptopfer dabei sind Organisationen, die viel zu verlieren haben und in der Lage sind, hohe Lösegeldforderungen zu erfüllen. Darüber hinaus stellten die Forscher auch einen wachsenden Trend fest, bei dem Betreiber von Ransomware ihren Opfern mit der Veröffentlichung ihrer Daten drohen, falls das Lösegeld nicht bezahlt wird.

Bild 2. Halbjahresvergleich der Anzahl der entdeckten Ransomware-bezogenen Komponenten (Dateien, Emails und URLs)

Schwachstellen sind weiterhin ein relevantes Problem

Mit der Verlagerung hin zur Remote-Arbeit ist das Patching wichtiger denn je. In der ersten Jahreshälfte wurde eine grosse Anzahl veröffentlichter und gepatchter Schwachstellen gemeldet, darunter mehrere kritische Fehler, die bereits in der Praxis ausgenutzt wurden. Für die Unternehmen könnte dies zu einer zusätzlichen Arbeitsbelastung ihres IT-Personals führen, das diese Updates implementieren und darüber hinaus sicherstellen muss, dass die IT-Infrastruktur des Unternehmens unter den neuen Arbeitsumgebungen so nahtlos wie möglich funktioniert.

Zwischen Ende 2019 und Anfang 2020 wurden zwei verschiedene Gruppen von Schwachstellen entdeckt, die Industrial Internet of Things (IIoT)-Geräte betreffen. Solche Sicherheitslücken könnten einen erheblich schädlichen Einfluss auf betroffene Branchen und Organisationen haben und zu möglichen zukünftigen Regelungen für das IIoT im Allgemeinen führen.

Bild 3. Halbjahresvergleich der Anzahl der Schwachstellen, die das ZDI-Programm veröffentlicht hat

Mehrschichtige Sicherheit als Verteidigung vor heutigen vielfältigen Bedrohungen

Die Herausforderungen im Bereich der Cybersicherheit, denen viele Organisationen in der ersten Hälfte des Jahres 2020 ausgesetzt waren, beweisen, dass eine mehrschichtige Lösung, die eine Mischung aus Fähigkeiten zur Bedrohungsabwehr bieten kann, am besten für eine umfassende Sicherheitsimplementierung geeignet ist, die sowohl in Büro- als auch in Privatumgebungen funktioniert.

Weitere Einzelheiten liefert der Report:

Patches für Sicherheitslücken von Adobe, Citrix, Intel und vBulletin

Originalartikel von Trend Micro

Schwachstellen setzen Unternehmenssysteme der Kompromittierung aus. Jetzt, da viele Mitarbeiter von zu Hause aus arbeiten und Geräte ausserhalb der sicheren Büroumgebungen betreiben, ist die Notwendigkeit, Schwachstellen zu beheben, sobald sie entdeckt werden, noch dringlicher geworden. Neben Microsoft haben kürzlich auch die folgenden Anbieter Patches veröffentlicht: Adobe, Citrix, Intel und vBulletin. Es folgt eine Zusammenfassung dieser kürzlich bekannt gewordenen Schwachstellen, und Organisationen sind gut beraten, sofort zu prüfen, ob die von ihnen verwendete Software von diesen Schwachstellen betroffen ist.

Adobe-Sicherheitslücken

26 Lücken in eigenen Produkten wie Adobe Acrobat und Adobe Reader hat der Anbieter Im Rahmen der aktuellen Veröffentlichungen von Fixes behoben. Elf davon sind als „kritisch“ eingestuft worden. Bei den beiden CVE-2020-9696 und CVE-2020-9712 handelt es sich um Security Bypass-Probleme, die die Ausführung beliebigen Codes ermöglichen. Die kompletten Einzelheiten zu den Schwachstellen werden noch veröffentlicht.

Verschiedene Sicherheitsforscher hatten Adobe von den Schwachstellen in Kenntnis gesetzt. Abdul-Aziz Hariri von der Trend Micro Zero Day Initiative (ZDI) entdeckte CVE-2020-9712 sowie vier weitere als „wichtig“ eingestufte Lücken (CVE-2020-9697CVE-2020-9706CVE-2020-9707CVE-2020-9710).

Citrix-Sicherheitslücken

Citrix veröffentlichte ein Security Bulletin, in dem der Anbieter die Entdeckung von fünf Sicherheitslücken in einigen Versionen von Citrix Endpoint Management (CEM), auch als XenMobile bekannt, ankündigte. Die beiden CVE-2020-8208 und CVE-2020-8209 gelten als „kritisch“.

Während über vier der Lücken nur wenige Informationen durchgedrungen sind, handelt es sich bei CVE-2020-8209 um einen Path Transversal-Fehler, der durch eine ungenügende Input-Validierung entsteht. Solche Schwachstellen ermöglichen es Angreifern, beliebige Dateien auf Servern zu lesen. Laut Andrew Menov, Experte bei Positive Technologies, können Bedrohungsakteure sie ausnutzen, indem sie eine URL erstellen und sie unter nichtsahnenden Benutzern verbreiten. Folgen diese der URL, könnten die Angreifer dann auf Dateien einschliesslich Konfigurationsdateien und Verschlüsselungs-Keys ausserhalb des Root-Verzeichnisses des Webservers zugreifen. Weitere Einzelheiten sollen noch folgen.

Intel-Sicherheitslücken

Intel veröffentlichte kürzlich Fixes für 22 Sicherheitslücken mit Bewertungen von „niedrig“ bis „kritisch“. Die kritische Lücke CVE-2020-8708 betrifft Intel Server Boards, Serversysteme und Rechenmodule vor der Version 1.59. Sie ermöglicht es nicht autorisierten Benutzern, die Authentifizierung zu umgehen und die Privilegien über angrenzende Zugriffe zu erhöhen.

Dmytro Oleksiuk, ein Informationssicherheitsforscher und -entwickler, der den Fehler entdeckte, erklärte gegenüber Threatpost, dass dieser Fehler in der Firmware von Emulex Pilot 3 sitzt. Emulex Pilot 3 wird von Motherboards verwendet und hilft dabei, Serverkomponenten in einem einzigen System zusammenzuhalten.

vBulletin-Sicherheitslücken

Eine im letzten Jahr bei der Internetforums-Software entdeckte Sicherheitslücke, die mittlerweile als geschlossen galt, scheint immer noch gefährlich zu sein. Das zeigten Proof-of-Concept Codes des Sicherheitsforschers Amir Etemadieh (Zenofex). Es geht um CVE-2019-16759, ein Fehler in vBulletin Versionen 5.x bis 5.5.4, der Remote Code Execution (RCE) ermöglicht über die Nutzung eines speziellen POST Requests. Zwar wurde schon seit langem ein Patch veröffentlicht, aber die Untersuchungen haben ergeben, dass Angreifer die Schwachstelle immer noch ausnutzen können, und es gibt PoCs in Bash, Python und Ruby. Bislang wurde noch kein offizieller neuer Patch veröffentlicht. Der Forscher hat einen temporären Workaround vorgestellt, den Administratoren anwenden können.

Schutz für Systeme

Folgende Massnahmen können zum Schutz vor Sicherheitslücken beitragen:

  • Systeme sofort patchen.
  • Regelmässige Updates von Software, Firmware und Anwendungen. Installieren der neuesten Versionen, denn diese enthalten auch die neuesten Fixes.
  • Einsatz von Sicherheitslösungen. Ein mehrschichtiger Sicherheitsansatz ist sinnvoll, vor allem in den Fällen, in denen Patches nicht sofort verfügbar sind.

Die folgenden Trend Micro-Lösungen erhöhen ebenfalls den Schutz vor Sicherheitslücken:

Trend Micro Deep Security und Vulnerability Protection schützen Nutzer vor der vBulletin-Sicherheitslücke mithilfe der folgenden aktualisierten Regel:

  • 1010366 – vBulletin ‚widgetConfig‘ Unauthenticated Remote Code Execution Vulnerability (CVE-2019-16759)

Das Rennen: Hase und Igel in der IT-Security

Von Richard Werner, Business Consultant bei Trend Micro

Quelle: Wikimedia Commons

Jeder kennt die alte Fabel von den Gebrüdern Grimm. Der Wettlauf zwischen Hase und Igel spielte sich angeblich in Buxtehude ab, in der auch obige schöne Skulptur steht, und die Realität in der IT-Security erinnert stark an diesen ungleichen, ja betrügerischen Wettlauf.

Alle Unternehmen haben bereits in Sicherheitsmassnahmen investiert, ihre Mitarbeiter trainiert und Prozesse optimiert. Dennoch gibt es immer wieder mehr oder weniger ernste Zwischenfälle. Die Lage wird auch dadurch erschwert, dass die IT selbst und mit ihr die Security ständig mit Neuerungen konfrontiert ist, wie z.B. Cloud-Computing und IoT (Internet of Things), oder es werden einfach nur Verfahren optimiert, beispielsweise mit Hilfe von künstlicher Intelligenz. Das bedeutet, alles ist ständig in Bewegung oder mit den Worten des BSI: „Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.“

Die Gegner in diesem Rennen um IT-Sicherheit sind nicht so sehr andere Firmen sondern vielmehr Leute, sprich Hacker, Cyberkriminelle oder andere Betrüger, die Firmen/Sicherheitsanbieter dazu zwingen, immer schneller zu werden. Diese Personengruppe misst sich nicht im fairen Wettkampf sondern versucht, die Sicherheit der Systeme mit unlauteren Mittel zu verletzen.

Merke: Wir befinden uns in einem Rennen!

Rollenverteilung

Der Tenor der Fabel selbst ist so gesetzt, dass der Leser sich mit dem vermeintlich schwächeren „klugen“ Igel und nicht mit dem „dummen, arroganten“ Hasen identifiziert. Lässt man allerdings die Attribute weg, so ist es eine Erzählung über einen Hasen, der mit Hilfe von übelstem Betrug gehetzt wird und den Wettlauf deshalb nicht gewinnen kann. Diese Beschreibung trifft auch auf die IT Security, also die Verteidigung der IT zu. Alle Anstrengungen führen letztlich dazu, dass wir, die Hasen, bestenfalls nicht verlieren. Gewinnen können wir jedoch nie. Denn das Gegenüber spielt nie fair, und es sind Betrüger im wahrsten Sinne des Wortes.

Merke: Unsere Rolle ist die des Hasen!

Wege aus der Situation

Bei Betrachtung der Situation aus Sicht des Hasen fällt eines auf. Der Hase stellt sich nie die Frage, wie es sein kann, dass ihn der Igel immer wieder besiegt, ohne ihn je zu überholen. Weil der geneigte Leser die Fabel kennt, weiss er auch, was dem Hasen geholfen hätte. Und vielleicht lassen sich diese Ideen auf reale Situation projizieren.

  1. Die erste Option wäre gewesen, ein neues Ziel zu definieren. Der Grund, warum der Igel gewinnen konnte, lag darin, dass der Hase immer zwischen Start und Ziel hin und her lief und damit den Betrug erst ermöglichte. Hätte der Hase nur einmal auf einem anderen Ziel bestanden, wäre der Wettlauf vorbei gewesen. Analog dazu: Auf die Frage, welches die Aufgabe der IT-Security im Unternehmen ist, kommt zumeist die Antwort, „das Unternehmen schützen“. Dies ist das Ziel, dem wir hinterher laufen und bei dem uns der Igel regelmässig sein berühmtes „Ich bin schon da“ entgegenruft. Die Frage ist, ob sich dieses Ziel ändern lässt. Hier ein Vorschlag: Das Ziel wäre, einen erfolgreichen Angriff rechtzeitig zu erkennen. Damit ist er wohlgemerkt nicht verhindert worden. Aber das betroffene Unternehmen hat dann die Möglichkeit, Gegenmassnahmen zu ergreifen, um Schaden abzuwenden. In der IT-Security sind solche Massnahmen unter dem Schlagwort Detection & Response bekannt.
  2. Die zweite Option für den Hasen wäre gewesen, dem Igel einen Vorsprung zu geben. Ihm sozusagen bis zum Ziel hinterher zu laufen, um zu sehen, wie er vorgeht. In diesem Fall hätte der Hase den ganzen Betrug aufdecken und auch die Betrüger entlarven können. Zudem wäre es der Igel gewesen, der plötzlich seine Ressourcen hätte einsetzen müssen. Auch dieses Verfahren kennt die IT-Security. Hier kommen ebenfalls Technologien aus dem Bereich Detection & Response zum Einsatz, mit deren Hilfe ein Angreifer verfolgt werden kann. Die „Gejagten“ versuchen, die Ziele der Angreifer und damit auch Hintergründe zu erforschen, um ggf. auch rechtliche Schritte gegen den/die menschlichen Täter einzuleiten. Das Verfahren birgt allerdings auch jede Menge Risiken und sollte deswegen nur durch Spezialisten und in Zusammenarbeit mit Strafverfolgungsbehörden durchgeführt werden.

Merke: Nur eine geänderte Vorgehensweise ändert auch die Situation.

Umdenken in der IT-Security

Bezüglich der reinen Schutzfunktionen sind die Grenzen in einigermassen gepflegten IT-Umgebungen längst erreicht. Unabhängig davon, ob ein Unternehmen die Security Tools eines oder mehrerer Hersteller für seine Sicherheit einsetzt, lässt sich lediglich ein Schutzniveau unter 100% erreichen. Dabei funktionieren die allermeisten IT Security-Umgebungen wesentlich besser als ihr Ruf. Der Grund, warum es dennoch immer wieder zu erfolgreichen Angriffen kommt und diese in den letzten Jahren sogar zugenommen haben, liegt vor allem darin, dass auch die Igel – pardon Angreifer — aufgerüstet haben. Attacken wie die der Kategorie Emotet verwenden mehrfache fortschrittliche Methoden um ihre Opfer zu kriegen. Hinzu kommt, dass Angriffsmethoden häufig nicht mehr allein von „gewöhnlichen“ Cyberkriminellen erdacht werden, sondern staatliche Institutionen viel Geld investieren, um solche Konzepte zu entwickeln. So lässt sich auch die heutige Emotet-Welle technisch wie auch methodisch auf das Vorgehen der angeblich staatlichen Malware-Varianten Wannacry und NotPetya zurückführen, deren „Vorfahren“ ihrerseits aus dem Leak technischer Informationen der NSA durch eine ominöse Hackergruppe namens Shadow Broker entstammen.

Die Lehre

Die Wahrscheinlichkeit, trotz guter Gegenmassnahmen infiziert zu werden, ist deshalb hoch. Hier ist es dringend geraten, anders als der Hase in der Fabel, die eigenen Ziele zu überdenken. Niemand bestreitet, dass Schutz wichtig ist. Aber das umfassende Erkennen von erfolgreichen Angriffen sowie die Möglichkeit, koordinierte Gegenmassnahmen mit oder ohne Beobachtung des Gegners zu treffen, werden immer essentieller. Es ist deshalb zunehmend wichtiger, Schutzmassnahmen mit Detection & Response-Methoden zu ergänzen. Je umfangreicher Sensoren ein Netzwerk durchleuchten können, desto genauer erkennen sie Methodik und Verbreitung (Detection), und können dadurch umso effektiver gegen die Bedrohung agieren (Response).

Trend Micro bietet daher seinen Kunden XDR an, das neben Standardvorgehen wie „Endpoint Detection und Response“ (EDR) auch die fortschrittliche Koordination von Verteidigungswerkzeugen auf anderen Ebenen eines Unternehmensnetzwerks wie Email, Server oder Cloud-basierte Workloads anbietet. Zusätzlich stellt Trend Micro auch Spezialisten zur Verfügung, die bei der Beurteilung und Auswertung von Erkenntnissen unterstützen können.

Ransomware-Report: Neue Techniken und besonders betroffene Branchen

Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos

In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.

Avaddon Ransomware

Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.

Bild 1. Beispiel einer Email der Avaddon-Kampagne

Es werden Dateien in den folgenden Ordnern verschlüsselt:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Auch werden Prozesse und Services beendet, die zum Grossteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Neue Techniken

In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.

Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.

Fertigung, Logistik und Energiesektor als Ziele

Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Mass an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.

Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.

In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.

ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.

Ransomware-Zahlen für Mai

Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmässig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.

Bild 2. Ransomware-Familien mit den meisten Erkennungen (Mai 2020)

Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).

Bild 3. Top-Branchen bezüglich von Ransomware-Erkennungszahlen (Mai 2020)

Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.

Bild 4. Ransomware-Erkennungen nach Segmenten (Mai 2020)

Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.

Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schliesslich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.

Bild 5. Zahl der neuen Ransomware-Familien (Januar bis Mai 2020)

Starke Verteidigung gegen Ransomware

Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.

Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:

  • Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmässige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
  • Regelmässiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
  • Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
  • Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.

Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™ XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™ unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™ Email Inspector schliesslich kann bösartige Email-Anhänge blockieren und analysieren.

Incident Response Playbook: Schnell und gezielt reagieren ist entscheidend

von Trend Micro

Um heutzutage wettbewerbsfähig zu sein, müssen Unternehmen mit den neuesten technologischen Trends Schritt halten. Ohne die parallele Entwicklung einer Sicherheitsinfrastruktur und einem klaren Prozess für eine Reaktion auf Angriffe könnten diese Technologien jedoch zum fatalen Vektor für Cyber-Bedrohungen werden. Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Ein gutes Playbook stellt eine große Hilfe beim Aufsetzen des Incident Response-Ablaufs dar.

Laut einer von IBM und Ponemon durchgeführten Studie kostet ein Datendiebstahl das betroffene Unternehmen durchschnittlich 3,92 Millionen Dollar. Diese Kosten können variieren, je nachdem, wie schnell ein Unternehmen einen Datendiebstahl entdeckt und darauf reagiert.

Der 2020 Data Breach Investigations Report von Verizon kam zu dem Ergebnis, dass die meisten Datenschutzverletzungen im Jahr 2019 zwar nur Tage oder weniger dauerten, doch immerhin ein Viertel der Fälle zog sich über Monate oder länger hin. Die Eindämmung wiederum brauchte im Durchschnitt etwa gleich lang.

Insgesamt zeigen die Zahlen im Bericht im Vergleich zu den Vorjahren eine Verbesserung bei der Aufdeckung von Dateneinbrüchen und der Reaktion darauf. Der Bericht weist aber auch darauf hin, dass diese Verbesserung darauf zurückzuführen sein könnte, dass mehr von Managed Security Service Providern (MSSPs) entdeckte Verletzungen in ihre Untersuchungen einbezogen wurden.

Organisationen sollten natürlich danach streben, die Einbrüche zu verhindern. Gleichzeitig ist die Vorbereitung auf solche Vorfälle und die Erstellung von Abläufen zur Verkürzung der Dauer eines Dateneinbruchs jedoch ein wesentlicher und realistischer Ansatz für den Umgang mit aktuellen Bedrohungen.

Vorbereitung auf die Bedrohungen

Das Wissen darüber, womit ein Unternehmen zu rechnen hat, ist der erste Schritt bei der Vorbereitung und die Reaktion auf potenzielle Cyberangriffe. In der Vergangenheit waren die Bedrohungen viel einfacher gestrickt und weitgehend durch die von ihnen ausgenutzten Technologien definiert. Doch nun, da Unternehmen auf fortschrittlichere Netzwerk- und Dateninfrastrukturen zurückgreifen, ist die Angriffsfläche grösser, und die Auswirkungen der Bedrohungen haben sich verstärkt.

Der Sicherheitsbericht für 2019 von Trend Micro weist auf die Komplexität und Persistenz der heutigen Bedrohungen hin. Ransomware-Angriffe zielen immer häufiger auf hochkarätige Ziele, wobei die Kriminellen weniger neue Familien entwickeln. 2019 gab es mit 95 neuen Ransomware-Familien weniger als die Hälfte im Vergleich zu 2018 (222). Auch Phishing-bezogene Aktivitäten nahmen ab.

2019 gab es eine Reihe Aufsehen erregender Angriffe auf E-Commerce Sites wie Magecart Group 12 und FIN6, wobei tausende Online-Shops infiziert wurden, um Zahlungsinformationen der Kunden zu stehlen.

Bild 1: Angriffskampagne auf E-Commerce Site Magecart Group 12 und FIN6

Obige Bedrohungen verdeutlichen die Sicherheitslücken in den heute verwendeten Technologien. Sie zeigen auch, wie Trends und Schwächen von Branchen, Geräten oder Plattformen die Bedrohungslandschaft prägen. Organisationen haben eine Vielzahl von Grundlagen abzudecken, wenn sie neue Anwendungen und Software einführen, die Abläufe verbessern und Innovationen vorantreiben sollen. Neben der Kenntnis der aktuellen Bedrohungen sollten die Mitarbeiter auch alle von ihrer Organisation verwendeten Technologien genau verstehen lernen.

Während ein vielschichtiger Schutz bei der Erkennung und Verhinderung von Cyberattacken helfen kann, sollten alle Mitarbeiter, die für die Wartung der Unternehmensinfrastruktur zuständig sind, auch über Kenntnisse darüber verfügen, wie sie auf einen Einbruch und einen aktiven Angriff reagieren sollen.

Incident Response

Bedrohungen, die die Verteidigungslinien von Unternehmen angreifen, erfordern eine effektive Strategie zur Reaktion auf Vorfälle (Incident Response). Es ist der Prozess oder der Plan, den Organisationen als Leitfaden für die Handhabung und Eindämmung von Verstössen oder Cyberangriffen verwenden.

Das Ziel von Incident Response besteht darin, das Unternehmen nach einem Angriff wieder zum Laufen zu bringen. Dazu gehört die Identifizierung und Qualifizierung der Bedrohung, die ihre Verteidigungsmechanismen überwunden hat. Ein Störfall impliziert auch, dass die Präventionsmechanismen der Organisation versagt haben und verstärkt werden müssen.

Ein charakteristisches Merkmal von Incident Response ist, dass die Reaktion erfolgreich sein kann, ohne den Bedrohungsakteur hinter dem Angriff identifizieren zu müssen. Incident Response erfolgt „live“ oder während eines laufenden Angriffs mit der Absicht, diesen zu stoppen. Im Gegensatz dazu erfolgt etwa Computer-Forensik im Nachhinein und kann in die Tiefe gehen, weil die Bedrohung zurückgegangen ist.

Es gibt zwei weithin als Standard akzeptierte Incident Response Frameworks: NIST (National Institute of Standards and Technology) und SANS (SysAdmin, Audit, Network, and Security). Sie sind einander sehr ähnlich und decken eine breite Basis ab, von der Vorbereitung auf einen Angriff bis zum Sicherstellen, dass sich der Vorfall nicht wiederholt.

SANS

NIST

Bild 2: Incident Response-Schritte bei SANS und NIST

Der zweite Teil beschreibt ein Playbook mit den einzelnen konkreten Schritten, die ein Unternehmen beim Aufsetzen von Incident Response gehen muss.

Ähnliche Artikel:

  1. Trend Micro als „Leader“ für Cross-Layer Detection and Response
  2. Der Security-RückKlick 2020 KW 14
  3. Sicherheit von 5G-Konnektivität im Unternehmen
  4. Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen
  5. Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.