Alle Beiträge von Martin Graf

Wo die Gefahren lauern: Schwachstelle Cyberpolitik, Trojaner Emotet und kritische Lücken

Wo die Gefahren lauern: Schwachstelle Cyberpolitik, Trojaner Emotet und kritische Lücken

Sicher, aber nicht zu sicher – Bundesinnenminister Seehofer plädiert für Backdoors in Messenger-Diensten

#seehofer #backdoor #messenger #verschlüsselung #cryptowar

Die Datenverschlüsselung zum Schutz vor Leaks und Datenmissbrauch ist angesichts der Vielzahl von Hackerangriffen elementar. Dennoch will Bundesinnenminister Horst Seehofer initiieren, dass Messenger-Dienste künftig Backdoors einbauen müssen: Ziel ist es, den Sicherheitsbehörden den Zugang zu verdächtigen privaten Korrespondenzen zu erleichtern. Davor warnen nun Sicherheitsexperten weltweit: Schließlich dienten besagte Backdoors nicht nur den Sicherheitsbehörden, sondern ebenso Hackern und fremden Nachrichtendiensten.

Das sind die Schäden durch Emotet bei Heise Verlag und Heise Gruppe

#emotet #heise #schaden #trojaner #dynamitphishing

Mitte Mai wurden die Heise Gruppe und der Heinz Heise Verlag vom Verschlüsselungs-Trojaner Emotet infiziert. Jetzt ist jener Schadensanteil beziffert worden, der allein durch das Hinzuziehen externer Cyber Security Experten verursacht wurde. 50.000 Euro hat das Unternehmen die Hilfeleistung durch externe Sicherheitsexperten gekostet. Hinzu kommen der Arbeitsausfall betroffener Mitarbeiter, das Neuaufsetzen aller befallenen PC-Arbeitsplätze sowie die Sonderschichten der IT-Verantwortlichen.

  • Mehr zur Emotet-Infektion bei Heise auf heise.de

Auf dem neuesten Stand: Patchday Windows 10

#microsoft #windows #patchday #schwachstellen

Die zuletzt veröffentlichten Sicherheitsupdates von Microsoft sollen verschiedene bekannt gewordene und teils als kritisch eingestufte Sicherheitslücken schließen. Eine als besonders kritisch geltende Schwachstelle betrifft beispielsweise die Speicherverwaltung von Edge.

Omnipräsent und gefährlich: Phishing-Mails bei GEZ, heise und Banken

Omnipräsent und gefährlich: Phishing-Mails bei GEZ, heise und Banken

Trojaner droht im Namen der GEZ per E-Mail mit Zwangsvollstreckung

#trojaner #phishing #gez

Der Absender fordert mit unterschiedlichen Mail-Adressen dazu auf, unverzüglich eine Mahngebühr in Höhe von 161,00 Euro zu zahlen bzw. ein SEPA-Lastschriftmandat zu erteilen mittels beigefügtem Anhang in Form eines Dokumentes. Hier lauert die Gefahr: Wird das Dokument heruntergeladen und bearbeitet, so wird die Malware installiert. Laut heise.de ist insbesondere Microsoft Word gefährdet.

Mehr zu den Phishing-Mails auf heise.de und rundfunkbeitrag.de

Auch heise.de von einem der weltweit gefährlichsten Trojaner infiziert

#emotet #heise #trojaner #dynamitphishing #heiseshow

Dass wirklich jedes Unternehmen potenziell angreifbar ist und Opfer von Phishing-Attacken und Hackern werden kann, zeigt uns die jüngste Nachricht:  Selbst die Heise Gruppe, unter anderem Herausgeber der c’t (selbst nicht betroffen), wurde vom Trojaner Emotet infiziert. Um auf das enorme Risiko aufmerksam zu machen und zu zeigen, wie schnell Unternehmen durch Malware kompromittiert werden können, machte heise.de den Vorfall gestern (06.06.2019) öffentlich.
Als Reaktion auf die Infektion, welche auf das Öffnen eines Mitarbeiters von einer gefälschten Fehlermeldung zurückzuführen ist, hat heise.de die #heiseshow ins Leben gerufen: Wöchentlich werden darin live alle relevanten (Zuschauer-) Fragen rund um Emotet diskutiert und erörtert.

Update:

Jetzt hat der Heise Verlag den Schaden benannt, der allein durch die Unterstützung von externen Cyber Security Experten verursacht wurde. 50.000 Euro hat das Unternehmen in die Hilfeleistung durch externe Sicherheitsexperten investiert. Die Kosten für den Arbeitsausfall betroffener Mitarbeiter, das Neuaufsetzen aller befallenen PC-Arbeitsplätze sowie die Sonderschichten der IT-Verantwortlichen  fallen zusätzlich an.

Diese aktuellen Angriffe meldet die Verbraucherzentrale

#phishing #erpressermail #bitcoin

Auch die Verbraucherzentrale meldet wieder zahlreiche Versuche von Cyberkriminellen, über unterschiedlich angelegte Phishing-Mails oder Drohungen monetären Gewinn zu erzielen.

Die Herangehensweisen in den Phishing-Mails sind dabei immer ähnlich: Im Namen bekannter Geldinstitute oder Verkaufsportale wie Sparkasse, PayPal oder Amazon versenden die Hacker Mails in nahezu identischem Corporate Design wie das der imitierten Plattform, in denen Sie unter Heranziehen verschiedener Gründe (etwa den neuen Datenschutzrichtlinien) um erneute Dateneingaben und Bestätigungsinformationen bitten.

Neben den Phishing-Mails meldet die Zentrale weiterhin eine große Anzahl an Erpressungsversuchen, die genauso einem festen Schema folgen: Der Empfänger wird mit einer erpresserischen Mail konfrontiert, deren Inhalt zusammengefasst in etwa lautet: Wenn du nicht binnen 3 Tagen in Bitcoin zahlst, stelle ich jede Menge empfindlicher Daten, Privatvideos etc. ins Netz, die ich auf deinem PC geknackt habe und stelle dich bloß. Die Verbraucherzentrale rät hier zum direkten Gang zur Polizei.

Fauler Kern: Interne Sicherheitsbedrohung

Fauler Kern: Interne Sicherheitsbedrohung

#sicherheitsrisikomitarbeiter #internebedrohung #login

Sicherheitslücken gibt es viele. Ausgenutzt werden können diese sowohl durch Externe als auch – häufig unterschätzt – durch (ehemalige) Mitarbeiter, wie es jüngst bei Snapchat der Fall war. Heißt also: Auch die kritische Prüfung des Benutzerverhaltens sollte im Monitoring bzw. Sicherheitskonzept enthalten sein. Das CSOC als Cyber Security Service unterstützt Sie in diesem Punkt ebenfalls, indem etwa externe Zugriffe und verdächtige Loginversuche detektiert werden.

Erstes HUB-Mitgliedertreffen des CSOC

Erstes HUB-Mitgliedertreffen des CSOC

Fazit: Ein gelungener Austausch zwischen SOC-Experten, Mitgliedern und Interessierten

Begrüßung des Meetups durch Christian Schmickler vom Cyber Security Cluster Bonn

Das lange geplante HUB-Mitgliedertreffen des CSOC feierte am 22. Mai 2019 Premiere! Ausgerichtet wurde es in den Räumlichkeiten der dhpg Bonn. Hintergrund der Zusammenkunft war der konstruktive Austausch zwischen den bereits aufgeschalteten Mitgliedern respektive Interessenten und unseren IT-Experten. Neben einer Revue des vergangenen CSOC-Jahres sowie einem Ausblick auf technische Neuerungen stand auch die Einholung von Feedback auf der Agenda: Stellt das Dashboard aktuell schon alle wünschenswerten Informationen bereit? Gibt es Vorschläge für neue Schnittstellen? Eingeleitet wurde das Meetup durch Gastredner Christian Schmickler vom Cyber Security Cluster Bonn, bei dem auch die dhpg und synalis Mitglied sind.

Cyber Security Cluster Bonn: Vision und Schwerpunkte

Zuerst hat Herr Schmickler das Wort und erklärt auf unserem Meetup die Vision und die sechs Schwerpunkte des Cyber Security Clusters Bonn. Als „Gravitationszentrum“ in Bezug auf die Bekämpfung von Cybercrime beschreibt er das Cyber Security Cluster Bonn, dass es sich zum Ziel gemacht hat, „Herz der Cyber Security in Europa“ zu werden. Die Tatsache, dass das Thema der Cybersicherheit in der ehemaligen Bundeshauptstadt jetzt schon groß geschrieben wird, zeige sich neben der wachsenden Mitgliederzahl im Cyber Security Cluster schließlich auch an den zahlreichen Veranstaltungen, wie selbiger Tag beweise.

Sechs Schwerpunkte hat das Cluster für sein Wirken und die Herausforderungen festgelegt:

    1. Awarenessveranstaltungen
    2. Inkubator für IT-Security Startups / Förderung von Innovationen
    3. Wise Council of Cyber Security Experts mit deutschlandweiten Vertretern
    4. Secure Digital City Bonn (Idee: Cyber Security soll anwendbar gemacht werden mittels Showroom oder sogar einem Stadtteil, um Innovationen für Bürger erlebbar zu machen. Wegen der konkreten Umsetzung ist das Cyber Security Cluster Bonn aktuell noch im Gespräch mit der Stadt.)
    5. Kooperative Aus-/ Weiterbildung
    6. Kooperative Forschung / Publikation

Wo sich die Idee des Cyber Security Clusters Bonn im CSOC widerspiegelt

Eine wesentliche Parallele zum CSOC as a Service, einem Gemeinschaftsprojekt der dhpg und synalis, zieht er im nächsten Schritt: Genau wie das Cyber Security Cluster Bonn als „Armee der Guten“ durch zunehmende Mitgliederzahl Kompetenzen und Wissen bündelt und der Gemeinschaft zur Verfügung stellt, so ist der CSOC-HUB ein Zusammenschluss von KMU, welche von der Vernetzung miteinander profitieren. Während der Benefit beim Cluster Bonn im offenen Wissensaustausch äußert, liegt der Gewinn beim CSOC im Teilen auffälliger Eventdaten: Bei einem Mitglied erkannte kritische Werte stehen der gesamten Mitgliedergemeinschaft anonymisiert zur Verfügung.

Das Konzept: Das CSOC von heute und morgen

CSOC 2.0: Mehr Analysedaten, mehr Machine Learning

CSOC Commander in Chief Andreas Lau gibt in seiner Begrüßung einen Überblick über die bisherige Struktur der Lösung für Cybersicherheit. Er fasst noch einmal zusammen, welche Leistungen das CSOC im Einzelnen kennzeichnen und hält fest, dass es Hauptaufgabe im SOC sein wird, auf bestehende und kommende Trends zu reagieren wie etwa die stete Zunahme von Cloud-Diensten. Er beleuchtet auch die Entwicklungen der Cybercrimer selbst: Während Ransomware weniger häufig detektiert wird, steigen Angriffe durch Kryptomining und Phishing-Mails. Positive Erkenntnis: Die Dwell Time – die Zeit zwischen Kompromittierung und Detektion – nehme spürbar ab. Das Ziel des Cyber Security Operations Centers sei, den Service noch auszuweiten.

Markus Müller, ebenfalls CSOC Commander in Chief, skizziert im Folgenden, wie das Managed SOC seine Serviceleistung konkret ausbauen und optimieren will. Während die Analyse sich momentan noch auf den Datenverkehr beschränkt, sind zukünftig weitere Bereiche geplant:

Stufe 1: NIDS (Network Intrusion Detection System) für den Datenverkehr

Stufe 2: Log-Daten (Eventdaten aus Firewall und Virenscanner für einen größeren Datenpool und genauere Analyse)

Stufe 3: Client / Server (Eventdaten von Client und Server, um Verhaltensmuster erkennen zu können für zielgerichtetere Reaktionen)

Ein großer Schritt werde laut Markus Müller der vermehrte Einsatz von Machine Learning zur Datensammlung und -auswertung sein, was aktuell noch überwiegend manuell geschehe. Die KI soll Fehlalarme vermeiden und schnellere und aussagekräftigere Analysen erzeugen.

Langfristig geplant sind unter anderem das Monitoring neuer Systemumgebungen, die Umgestaltung des Kundendashboards sowie ein 24 / 7-Service. Die nächste Anpassung wird voraussichtlich im August 2019 erfolgen in Form eines Dashboards mit Livedaten.

Feedback erwünscht: Über diese Anpassungen würden sich die Mitglieder freuen

In den beiden Workshops erarbeiten die HUB-Mitglieder im Anschluss potenzielle Verbesserungschancen hinsichtlich Dashboard und Schnittstellen.
In Planung ist eine Umstellung im Bereich Daten-Visualisierung und interaktive Dashboards. Die Mitglieder begrüßen die anstehenden Änderungen und bringen ihrerseits Vorschläge wie etwa die Differenzierung in rollenbasierte Dashboards oder die Möglichkeit dessen individueller Mitgestaltung.

Bei den Schnittstellen geben die Mitglieder ebenfalls Tipps ab zur Nutzeroptimierung, beispielsweise den Vorschlag, in der CSOC-Konsole auch weitere Security-Dashboards wie etwa vom Windows Defender zu bündeln, um alle sicherheitsrelevanten Daten auf einen Blick einsehen zu können, ohne verschiedene Dashboards aufrufen zu müssen.

Die gesammelten Ergebnisse werden aktuell aufbereitet und anschließend detailliert an alle Teilnehmer des CSOC-Meetups verschickt.

Abschluss: Munterer Mitgliederaustausch auf der Dachterrasse

Im Anschluss an die Workshops ziehen die Teilnehmer des Meetups um auf die Dachterrasse der dhpg, auf der im abendlichen Sonnenschein Würstchen und Grillfleisch verzehrt werden. Hier startet der informelle Teil der Veranstaltung, der den offenen Austausch zwischen SOC-Experten und den Mitgliedern untereinander fördert und damit ganz im Gedanken des HUB steht. Natürlich sind auch für das nächste Geschäftsjahr weitere Veranstaltungen angedacht.

Aktuelle Sicherheitslücken: WhatsApp, Windows, Intel

Aktuelle Sicherheitslücken: WhatsApp, Windows, Intel

WhatsApp gehackt: Sind Sie auf dem neuesten Stand?

Mit präparierten WhatsApp-Anrufen schleusen Angreifer aktuell Spyware auf Smartphones ein – egal, ob die Nutzer die Anrufe annehmen oder nicht. Die User des Messenger-Dienstes sollten daher dringend prüfen, ob sie bereits die abgesicherte Version für das jeweilige Betriebssystem installiert haben:

Gefährdet sind laut Facebook alle Vorgänger folgender Versionen:

  • Android: v2.19.134
  • Business für Android: v2.19.44
  • iOS: v2.19.51
  • Business für iOS: v2.19.51
  • Tizen: v2.18.15
  • Windows Phone: v2.18.348

Zurückzuführen ist die Spionagesoftware „Pegasus“ vermutlich auf die israelische NSO-Group.

Mehr Infos über den WhatsApp-Sicherheitslücke auf heise.de und sueddeutsche.de

Zurück gehackt: Vom Hacker zum Opfer

Den Absender abertausender Spam-Mails selbst in die Falle zu locken – das machte sich ein Hacker zum Ziel, als er die Infomail über den vermeintlichen Geldgewinn in seinem Postfach entdeckte. Er trat mit dem Pseudo-Geldgeber in Kontakt – und machte schließlich eine Sicherheitslücke aus, über die er die Cyberkriminellen selbst hackte.

Auf heise.de berichtet der Hacker anonymisiert über den ganzen Vorfall.

Kein Spiel, sondern neue Sicherheitslücke: ZombieLoad versus Intel

Als „Microarchitectural Data Sampling“ (MDS) bezeichnet Intel die Angriffe durch die aktuelle Malware ZombieLoad, die sich in die Angriffsserie von Spectre und Meltdown einreiht und laufende Prozessdaten ausliest. Das Risiko wird allerdings als „mittel bis gering“ eingestuft. Entsprechende Patches stehen bereit.

Mehr zu ZombieLoad auf heise.de

Vorsicht Wurm! BSI warnt vor Windows-Schwachstelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke (CVE-2019-0708) im Remote-Desktop-Protocol-Dienst (RDP) beim Microsoft-Betriebssystem Windows. Die Schwachstelle wird als kritisch eingestuft, Patches sollten umgehend eingespielt werden.