Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

Kommentar zum heise-Artikel: Mehr Daten, mehr Verantwortung

Kommentar zum heise-Artikel: Mehr Daten, mehr Verantwortung

Was Unternehmen im Bereich Datenschutz leisten sollten

#heise #datenschutz #verantwortung #soc #cybersecurity

Sicherheitslücken in der eigenen Soft- oder Hardware selbst publik zu machen galt früher als No-Go: Das Thema Cyber Security war insgesamt deutlich weniger relevant als heutzutage (schön nachzulesen im aktuellen Artikel auf heise.de), schien ein tendenziell überflüssiger Kostenfaktor zu sein und geisterte nicht alltäglich mit neuen Schreckensmeldungen durchs Netz, weil die Konsequenzen von Malware nicht konkret abzusehen waren.

Aber: Mit zunehmendem Wissen kommt die Verantwortung, weiß man – und der kann sich angesichts zahlreicher täglicher Cyberangriffe und Sicherheitsvorfälle heute kaum jemand mehr entziehen. War es vor einigen Jahren noch ein teils langwieriger Prozess vom Entdecken bis zur Behebung einer Security-Schwachstelle, so stellen die Hersteller nun in der Regel relativ schnell und mit hohem Eigeninteresse Patches bereit – schließlich will sich keiner nachsagen lassen, man habe bewusst nicht gehandelt oder eben fahrlässig agiert.

Allgemein erwarten wir von Herstellern, dass sie Exploits bekanntgeben und Sicherheitslücken schnellst möglich schließen, jeder Verzug wäre eine sicherheitsgefährdende Zumutung. Nicht anders ist es mit Unternehmen. Wenn jemand unsere sensiblen Daten speichert und ein Leck im Sicherheitssystem erkannt hat möchten wir selbstverständlich umgehend informiert werden und im Wissen darüber sein, dass man alles tut, um einen Datendiebstahl oder Datenmissbrauch zu unterbinden.

Unternehmen sollten also

    1. alles zum Schutz sensibler Daten unternehmen: Errichtung von Schutzvorkehrungen (wie Firewall, Virenschutz, regelmäßige Patches, aktuelles System) und konstantes Monitoring relevanter Bereiche mit einem Security Operations Center zur zeitnahen Erkennung von Hackerangriffen, ob selbst betrieben oder als Managed Service, und Schulungen und Trainings der IT-Bereiche und Mitarbeiter
    2. bei einem erfolgten Angriff keine Vertuschungsambitionen hegen (unverzügliche Meldepflicht, Verstoß wird als Ordnungswidrigkeit geahndet), sondern korrekt und offen kommunizieren, eine Schadensanalyse machen (lassen), die genutzte Schwachstelle ausfindig machen und beheben.

Hierbei stellen wir gern unsere Managed Security Services zur Verfügung, möchten aber in erster Linie auf ein einwandfreies Verhalten im Schadensfall hinweisen.

Malware Emotet: Was tun?

Trojaner EmotetNeue Welle von Cyberangriffen auf deutsche Unternehmen erwartet 

BSI warnt vor großer Emotet-Kampagne

#emotet #trojaner #schutz #phishing #bsi #socaas

IT-Sicherheitsexperten und BSI schlagen Alarm: Derzeit häufen sich wieder Fälle, in denen der bereits bekannte Trojaner Emotet Unternehmen lahmlegt. Das BSI geht sogar von einer massiven Angriffswelle aus, die in den kommenden Wochen über deutsche Unternehmen rollen wird. Wie Sie sich jetzt schützen können und was Sie als Betroffener tun sollten.  

War es in den Sommermonaten relativ ruhig, beobachtet das Bundesamt für Informationstechnik (BSI) in letzter Zeit wieder vermehrt, dass Kriminelle mit dem Trojaner Emotet Schäden in Unternehmen anrichten. IT-Sicherheitsexperten fürchten, dass in den kommenden Wochen im Rahmen einer groß angelegten „Kampagne“ eine Welle von Cyberangriffen auf deutsche Unternehmen zurollt, mit dem Ziel, IT-Systeme lahmzulegen. Aus diesem Grund hat das BSI zu Beginn der Woche eine Cyber-Sicherheitswarnung an Unternehmen und Verwaltungen versendet.  

Wie gehen die Angreifer vor?

Der Trojaner Emotet wird von Kriminellen als Erpressungssoftware genutzt, auch Ransomware genannt. Er gelangt per Phishing-Mails, die infizierte Anhänge enthalten, auf die Rechner, von wo aus er Schadsoftware aus dem Internet nachlädt. Ist ein System infiziert, werden wichtige Dateien verschlüsselt. Die Erpresser fordern zumeist hohe Geldsummen in Form von Kryptowährung für die Freigabe der Dateien.

Was tun im Verdachts- oder Angriffsfall?

Sollten Sie den Verdacht haben (etwa nach dem Klick auf eine unseriöse Mail oder bei der Ausweitung eines Schadcodes im Netzwerk), dass Ihr Unternehmen vom Trojaner Emotet angegriffen wurde oder sollte sich dies bereits bestätigt haben, nehmen Sie unverzüglich Kontakt mit uns auf. Unsere CSOC-Mitarbeiter haben die aktuellen Vorgänge im Blick und sind für den Trojaner und seine Anzeichen sensibilisiert.  Denn das Tückische bei Emotet ist ja: Um möglichst hohen Schaden anzurichten verhält sich der Trojaner zunächst ruhig und kaum bemerkbar. Erst, wenn er sich strategisch verteilt hat, um ein breites Feld zu infizieren, beginnt er mit der Verschlüsselung.

Die systematische Früherkennung im SOC as a Service schließt auch neue Angriffsszenarien wie die von Emotet mit ein, die anhand spezifischer, auf Basis von Phishingmails initiierter Angriffsmuster erkannt werden können. Die frühzeitige Detektion einer solchen Cyberbedrohung verhilft Ihnen zur zeitnahen Reaktion, welche alle bekannten Folgeschäden wie Datenklau oder Verschlüsselung erheblich verringern kann.

Vom DDOS und Wikipedia bis zu Emotet, SIM-Swapping und Scamming

Vom DDOS und Wikipedia bis zu Emotet, SIM-Swapping und Scamming

Unter Beschuss: DDoS-Angriff auf Wikimedia Stiftung

#wikipedia #ddos #iot

Ein mehrstündiger DDoS-Angriff auf die Server blockierte am 06. September die Dienste der Wikimedia Foundation. In Folge waren Seiten wie die Online-Enzyklopädie Wikipedia zeitweise nicht erreichbar. Die Täter gaben via Twitter an, den Angriff mit Hilfe von schlecht oder gar nicht geschützten IoT-Geräten durchgeführt zu haben.
Um die Online-Präsenz von Wikimedia zukünftig sicherer zu machen, ließ Internet-Unternehmer Craig Newmark der Wikimedia-Stiftung anschließend eine Spende in Höhe von 2,5 Millionen Dollar zukommen.

  • Weitere Infos zum DDOS-Angriff auf heise.de

Stadtverwaltung sieht schwarz: Schlummernde Rechner wegen Emotet-Befall

#emotet #trojaner #dynamitphishing #behörden

Emotet gibt keine Ruhe: Vor schwarzen Bildschirmen sehen sich gleich mehrere Ämter der Stadtverwaltung Neustadt bei Hannover, die Opfer des Dynamit-Phishings wurden. Aus Sicherheitsgründen bleiben die Rechner erst einmal heruntergefahren, um die Verbreitung sowie das Nachladen weiterer Malware zu unterbinden.

  • Mehr zum Emotet-Angriff auf die Stadtverwaltung auf ndr.de und heise.de

SIM-Swapping: Die Handynummer als Einfalltor für Cybercrime

#simswapping #handy #telefonnummer

Sensible Daten über die Handynummer abzugreifen ist weniger kompliziert, als man zunächst annehmen mag. Auch in Deutschland gehen Hacker erfolgreich vor, indem Sie über ausgekundschaftete Handynummern Accounts übernehmen und Geld stehlen. Dafür täuschen sie zuerst Telefonanbieter, um so an die privaten Zugangsdaten und Codes zu gelangen, die sie anschließend als Universalschlüssel für kriminelle Machenschaften im Namen oder auf Kosten der Person missbrauchen, auf die die Handynummer tatsächlich zugelassen ist. In Essen ging man gegen das SIM-Swapping nun mit einer Razzia vor, die in einer Festnahme endete.

Die Experten raten Handynutzern, ihre Nummer bei ihrem Anbieter durch eine zusätzliche PIN zu schützen, die man für alle telefonisch angemeldeten Aktivitäten oder Rückfragen zu Beginn melden muss.

Scamming: Verdächtige E-Mail-Betrüger weltweit verhaftet

#scam #emailbetrug

US-Ermittler haben über den Globus verteilt knapp 300 Cyberkriminelle festgenommen, die Personen mit gefälschten Mails um Geld betrogen haben.

Dabei fallen die Methoden vielseitig aus. Die Betrugsmasche findet sich sowohl im beruflichen als auch im privaten Umfeld wieder. Während sich die Scammer bei Unternehmen beispielsweise als Geschäftspartner oder Mitarbeiter ausgeben, täuschen sie Privatpersonen häufig mit falschen Geld- oder Liebesversprechen sowie vermeintlichen Wohnungs- und Jobangeboten.

Urgent/11: Schwachstellen im Realtime-Betriebssystem VxWorks

Urgent/11: Schwachstellen im Realtime-Betriebssystem VxWorks

#Update #Sicherheitsluecke #Schwachstelle 

Neben den alltäglich im Gebrauch befindlichen Notebooks, Desktop PCs etc., die regelmäßig Updates erhalten sollten, sind in vielen Bereichen auch Geräte im Einsatz, die dem Internet der Dinge (IoT) zuzuordnen sind und auch ein Betriebssystem installiert haben; beispielsweise Firewalls, Drucker oder auch medizinische Geräte und Systeme in Krankenhäusern. Dies ist den dafür Verantwortlichen vielleicht nicht immer bewusst und nach der Ersteinrichtung geraten diese Geräte schnell in Vergessenheit und werden somit auch nicht regelmäßig mit Updates versorgt, die Sicherheitslücken schließen würden. So unlängst geschehen bei den „Urgent/11“ getauften Schwachstellen im Realtime-Betriebssystem VxWorks. Auch wenn ein Update teilweise aufwändig erscheint oder man glaubt, es werde einen schon nicht treffen, sollte man es dennoch durchführen. Es gibt keinen 100 prozentigen Schutz. Auch IoT-Geräte sollten bei einer Update-Planung nicht vergessen werden.

Gerade in Bezug auf diese Schwachstellen sollten Unternehmen zuerst prüfen, ob VxWorks eingesetzt wird und nachfolgend kurzfristig die neueste Version bzw. die neuesten Updates einspielen. Eine nicht vollständige Liste von betroffenen Geräten und Herstellern kann hier gefunden werden (https://armis.com/urgent11/#/devices).

 

Penetrationstest: Was ist das und wie läuft er ab

Der IT-Penetrationstest: Eine fachliche Prüfung der IT-Sicherheit in Unternehmen zum Schutz vor Angriffen

#penetrationstest #it-sicherheitscheck #schwachstelleanalyse

"Wie gut ist unser Unternehmen gegen Hackerangriffe geschützt?" Eine Frage, die eine Geschäftsführung der internen IT-Abteilung heute stellen muss. Die Meldungen hinsichtlich Angriffen auf Unternehmen jeder Größe häufen sich. Eine fachliche Aussage über den aktuellen Schutz vor Hackerangriffen zu treffen ist zwar aus Sicht der IT-Abteilungen möglich, aber wie genau kann diese Aussage sein und wer trägt die Verantwortung? Besser ist, wenn IT-Security-Experten nach dedizierten Verfahren vorgehen und eine Prüfung der IT-Sicherheit durchführen, die Klarheit verschafft und Handlungsfelder für Schwachstellen definiert. Der IT-Penetrationstest als Schwachstellenanalyse ist hier die Lösung.

Was ist ein Penetrationstest?

Bei einem Penetrationstest handelt es sich um den Sicherheitstest einer IT-Infrastruktur. Hierbei werden IT-Systeme und IT-Anwendungen auf potenzielle Schwachstellen durch Fehler, beispielsweise in der Programmierung, geprüft. Darüber hinaus, entstehen häufig Einfallstore in Netzwerke durch Konfigurationsfehler, oder fehlende Sicherheitsupdates. Ein Penetrationstest kann ein Netzwerk jeglicher Größe abdecken, oder sich auch mit einzelnen, besonders kritischen Komponenten befassen. Wie letztendlich getestet wird, hängt stark von den Zielen des Kunden ab.

Was steckt hinter der Bezeichnung OSSTMM 3.0?

Hinter OSSTMM 3.0 steckt eine Methodik zur Vorgehensweise bei einem Penetrationstest. Unter anderem bietet OSSTMM 3.0 Methoden zur Schwachstellensuche und Verifizierung. Man könnte also sagen, es handelt sich um einen roten Faden oder Ratgeber für den durchführenden Tester.

Penetrationstest zur Verhinderung von Datenklau

Kann jedes IT-Unternehmen einen Penetrationstest durchführen?

Nein. Ein guter Administrator wird viele IT-Systeme in Betrieb nehmen, warten oder in eine vorhandene IT-Infrastruktur einbinden können. Einigen wird auch bewusst sein, dass nach außen offene Ports nach Möglichkeit zu vermeiden sind und das Kennwörter komplex sein sollten. Die Durchführung eines IT-Penetrationstests erfordert jedoch geschulte Experten mit Kenntnissen im Umgang mit einer breiten Palette von Tools und manuellen Vorgehensweisen, mit denen ein IT-Administrator im Alltagsgeschäft keinerlei Berührungspunkte hat. Ferner sollte ein Penetrationstest immer von einem externen Dienstleister durchgeführt werden, um eine möglichst neutrale Sicht auf die Systeme zu haben.

Worin unterscheidet sich die 2-tägige Schwachstellenanalyse vom Penetrationstest?

Der größte Unterschied liegt in der Intensität der Analyse. Bei der 2-tägigen Schwachstellenanalyse handelt es sich um einen Sicherheitscheck, der darauf ausgerichtet ist, bekannte Schwachstellen, unbemerkte Konfigurationsfehler und eventuell veraltete IT-Systeme zu identifizieren und somit die einfacheren Schwachstellen zu erkennen und zu beseitigen.
Der Penetrationstest hingegen ist eine auf den Kunden zugeschnittene Schwachstellensuche, bei der eine eingehende Analyse vorhandener IT-Systeme durchgeführt wird. Es ist auch möglich, den Fokus auf einen bestimmten Bereich zu setzen. Der Penetrationstest soll also komplexere Schwachstellen aufdecken und zu ihrer Beseitigung beitragen.

Wann sollte ein Unternehmen einen Penetrationstest durchführen lassen?

Ein Unternehmen sollte einen Penetrationstest durchführen lassen, wenn es über IT-Infrastrukturen verfügt, die für das Tagesgeschäft unverzichtbar sind.
Hierbei spielt die Größe des Unternehmens keine Rolle.

Wie oft sollte ein Penetrationstest durchgeführt werden?

Ein Penetrationstest sollte regelmäßig durchgeführt werden, mindestens jedoch einmal pro Jahr.
Es sollte zunächst ein umfassender Penetrationstest durchgeführt werden, um möglichst alle vorhandenen Schwachstellen zu identifizieren. Anschließend empfehlen wir bei Veränderungen der Infrastruktur ein Check-Up. Dieses beschränkt sich auf die neuen Systeme, sodass eine solche Auffrischung mit weniger Aufwand und Kosten verbunden ist.

Wenn ich CSOC-Kunde bin und die CSOC-Sensoren meine Systeme überwachen, brauche ich dann trotzdem einen Penetrationstest?

Ja. Das CSOC fungiert als eine Art Alarmanlage. Es soll den durch einen Angriff auf Ihr Netzwerk / IT-Systeme entstehenden Schaden begrenzen, den Angreifer im besten Fall aussperren, bevor er Schaden verursachen kann.
Der Penetrationstest wiederum begrenzt die Möglichkeiten des Angreifers auf ein Minimum und macht Sie als Ziel weniger anfällig und attraktiv.

Erhält man im Nachgang Empfehlung für Maßnahmen, wenn Schwachstellen erkannt wurden?

Selbstverständlich erhalten unsere Kunden nach der Durchführung einer IT-Schwachstellenanalyse eine Zusammenfassung in Form eines Berichts. Es findet eine Besprechung der Funde statt, in der Möglichkeiten zur Verbesserung der aktuellen Lage dargelegt werden.