Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes

Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes

Was passiert, wenn kein Strom mehr fließt? Lebensmittel und überlebenswichtige Medikamente können nicht mehr gekühlt werden, lebenserhaltende Geräte in Krankenhäusern fallen aus, das Licht erlischt und die Straßen versinken im Chaos. Ein Szenario, das unvorstellbar scheint. Doch die Gefahr existiert. Denn Cyberkriminelle nehmen vermehrt verwundbare Einrichtungen ins Visier, die die Grundlage für das Allgemeinwohl darstellen – Kritische Infrastrukturen.

Auch BSI-Präsident Arne Schönbohm sieht Betreiber von nationalen Wasser- und Stromwerken oder beispielsweise die Pharmaindustrie verstärkt im Fokus professionalisierter Cyberangriffe. Warum? Manipulationen der Betriebsabläufe in diesen Wirtschaftssektoren könnten die Bevölkerung in Gefahr bringen. Die Schutzmaßnahmen für die interne IT sollten durchaus einen hohen Stellenwert besitzen.

Nachfolgend werfen wir einen Blick auf die Kritischen Infrastrukturen und geben einen Ausblick auf die enorme Tragweite eines Cyberangriffes auf diese empfindlichen Organisationen.

Eine kritische Angelegenheit

Zu den Kritischen Infrastrukturen, oder auch kurz KRITIS genannt, gehören Organisationen oder Einrichtungen, die eine wichtige Rolle für das staatliche Gemeinwesen spielen. Sie stellen Dienste oder Produkte bereit, von denen Verbraucher und Unternehmen gleichermaßen abhängig sind. Zu nennen sind hier Einrichtungen innerhalb der Sektoren Energie, IT und Telekommunikation, Gesundheit, Wasserversorgung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.

Im Hinblick auf ihre IT-Infrastruktur gelten Kritische Infrastrukturen als besonders sensibel, weshalb die Regierung mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz diese besonders schützen will. Betreiber müssen daher Störungen ihrer IT-Systeme melden sowie regelmäßige Prüfungen dieser zulassen. Die genannte Sensibilität der Systeme rührt daher, dass die meisten bereits in weit zurückliegender Vergangenheit entwickelt wurden. Klar wird dabei, dass IT-Sicherheitsaspekte nicht von Anfang an berücksichtigt wurden, sondern zunächst physische Sicherheitsaspekte, wie der Aufbau von hochkomplexen Zaunanlagen und das Bereitstellen von Sicherheitspersonal, verfolgt wurden.

Grund hierfür war zudem auch die Trennung der IT-Systeme vom Internetzugang. Doch die Digitalisierung ist nicht einfach vorbeigezogen, sondern hat zu erheblichen Veränderungen in den letzten Jahren geführt. So sind in modernen Industriebetrieben mittlerweile viele Maschinen, Geräte und Mitarbeiter mit dem Internet verbunden. Neben vielen Vorteilen, die diese Vernetzung mit sich bringt, gibt es jedoch auch Nachteile, die nicht unerheblich sind: Kritische Infrastrukturen sind so für Cyberangriffe noch verwundbarer.

… und es ward dunkel!

Welches Ausmaß ein Cyberangriff auf Kritische Infrastrukturen haben kann, zeigt eine beispiellose Attacke auf das Stromnetz der Ukraine im Jahr 2015. Die Hacker legten die gesamte Stromversorgung lahm. Haushalte blieben stundenlang im Dunkeln, Krankenhäuser mussten auf Notstromaggregate zugreifen. Verantwortlich für den Hackerangriff sollen staatliche Akteure gewesen sein, die mithilfe der Malware Industroyer die Stromversorgung des Landes sabotierten. 2017 wurde ein Saudi-arabisches Kraftwerk Opfer von Hackern. Ziel des Angriffs war es vermutlich, die Anlage zu zerstören.

Der Angriff wurde rein zufällig entdeckt. So konnte Schlimmeres verhindert werden. Medienberichten zufolge lief die Attacke über ein Sicherheitssystem, welches weltweit in Öl- und Gaskraftwerken sowie Atomanlagen eingesetzt wird – auch in Deutschland. Der bei dem Angriff eingesetzte Triton-Code wurde wenig später im Internet veröffentlicht. Das schuf die Grundlage für weitere Angriffe durch versierte Hacker. Eigenen Angaben zufolge konnten Sicherheitsforscher im April 2019 einen weiteren Angriff mit dem Triton-Code ausfindig machen. Unklar bleibt allerdings, wann der Angriff stattfand und welche Anlage im Fokus stand. Die Forscher seien bei ihren Untersuchungen zu der Erkenntnis gekommen, dass die Angreifer eine Grundlage für physische Schäden legen wollten. Damit läge es auch nahe, dass weitere Betreiber Kritischer Infrastrukturen anvisiert wurden. Aus diesem Grunde haben die Forscher Details zur entdeckten Malware öffentlich gemacht, um IT-Verantwortliche bei der Entdeckung und Prävention zu unterstützen.

Die vergangenen Ereignisse sind besorgniserregend. Ein gutes Zeichen ist jedoch das dadurch steigende Bewusstsein für IT-Sicherheit innerhalb Kritischer Infrastrukturen. Der Katastrophenschutz etwa lobte bereits die wachsende IT-Sicherheit.

The Worst Case: Cyberangriff auf KRITIS-Betreiber

Damit soll das Thema aber längst nicht vom Tisch sein, sondern für die weitere Einrichtung von Sicherheitsmaßnahmen sensibilisieren. Was wäre wenn? Wir gehen vom Worst Case aus: Ein Cyberangriff dreht Deutschland den Strom ab. Laut Arne Schönbohm vom BSI ist die Netz- und Energieversorgung ein attraktives Ziel, um ein ganzes Land lahmzulegen. Demnach entstünden weitreichende Versorgungsengpässe bei einem längeren und größeren Stromausfall. Dies gibt etwa auch der Katastrophenschutz zu Bedenken. Werfen wir einen genaueren Blick auf ein mögliches Angriffsszenario:

Die Cyberkillchain

Ein Angriff erstreckt sich auf insgesamt sieben Schritte, die in einer sogenannten Cyberkillchain zusammengefasst werden. Das Konzept der Angriffskette stammt ursprünglich aus dem Militär und wurde auf den IT-Bereich übertragen.

Ein Angriff einer Ransomware läuft in den folgenden Schritten ab:

  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. Command & Control
  7. Actions on objective

Reconnaissance: Identifizierung des Ziels

Es gibt grundsätzlich zweierlei Angriffsarten zu unterscheiden: gezielte und massenweise Attackierung. Bei der Killchain geht es hauptsächlich um gezielte Angriffe. Zunächst wird das Ziel ausgesucht. Hier werden dann so viele Informationen wie möglich gesammelt, um herauszufinden, wie das Unternehmen aufgestellt ist und wo eventuelle Lücken klaffen, die man für ein Eindringen nutzen könnte. Im Fokus steht meist ein bestimmter Mitarbeiter, der viele Informationen zu seiner Person teilt: Kontaktdaten, Jobtitel, Urlaubspläne und mehr. Ist die passende Schwachstelle gefunden, wird der nächste Schritt in Angriff genommen.

Weaponization: Vorbereitung des Angriffs

Je nach angestrebtem Ziel und geplanter Vorgehensweise wählt der Angreifer ein passendes Tool aus – nach Möglichkeit sollte es natürlich perfide sein. Oft bietet sich hier ein Verschlüsselungstrojaner an, der sich zunächst bedeckt hält und weitere Informationen sammelt. Viele dieser Codes stehen im Darknet frei zur Verfügung.

Delivery: erste Schritte zur Durchführung des Angriffs

In dieser Phase muss der Kriminelle einen Verbreitungsweg wählen. Er kann hierbei auf eine CD-ROM, einen USB-Stick oder auch ganz klassisch auf die E-Mail setzen. Besonders beliebt sind hier Phishing-Mails, die entweder per Link auf eine schadhafte Webseite leitet oder ein infiziertes Dokument enthält, welches der Empfänger öffnen soll. Der Vorteil der Phishing-Methode bringt uns direkt zum nächsten Schritt.

Exploitation: Aufspüren von Sicherheitslücken

Die mangelnde Sensibilisierung der Mitarbeiter stellt einen gern genutzten Einfallsvektor dar. Stichwort „Social Engineering“: Über Phishing, CEO-Fraud oder Whaling wird gezielt die Unsicherheit und Unwissenheit der Mitarbeiter ausgenutzt, um ins System zu gelangen. Doch können offene Angriffsflächen auch in der Technik liegen, wie etwa ungepatchte Sicherheitslücken in unternehmensweit genutzten Programmen.

Installation: Implementierung einer Backdoor

Logischerweise erscheint kein Pop-Up sobald die Malware installiert wurde. Die Installation läuft im Verborgenen und ohne das Wissen des Nutzers. Die Malware nistet sich ein und wartet auf ihren großen Moment.

Command & Control: Fernsteuerung des Zielsystems

Um die Kontrolle der Malware zu behalten, kann beispielsweise das Remote Desktop Protokoll für den Fernzugriff ausgenutzt werden. Die Fernsteuerung ist essentiell, um das eigentliche Ziel zu erreichen. Mittlerweile ist es sogar möglich, sich Künstlicher Intelligenz zu bedienen, sodass die Malware selbstlernend Aktionen durchführen kann, wie etwa das Nachladen weiterer Schadsoftware oder das Ausspähen von persönlichen Daten.

Actions on objective: Zielerreichung

Der große Moment ist gekommen und der Angreifer kann nach der kompletten Unterwanderung des Systems seine Handlung konkretisieren. In unserem Fall wird die Stromversorgung abgeschaltet. Es kann mehrere Jahre dauern, bis die Malware ausgeführt oder entdeckt wird.

Aus der Killchain wird deutlich, dass die Prävention und Verteidigung vor ausgefeilten Cyberangriffen nur mit speziellen Werkzeugen sowie einer starken und regelmäßigen Sensibilisierung der Mitarbeiter möglich sind. Zu nennen sind hier beispielsweise Services, die perfide und komplizierte Schädlinge wie Advanced Persistent Threats mit speziellen Analyse-Engines, Freezing und Sandbox erkennen können. Fakt ist, dass Cyberangriffe weiter zunehmen werden und frühzeitig Maßnahmen zum Schutz ergriffen werden müssen.

Zusammengefasst lässt sich also sagen, dass Cyberattacken auf Kritische Infrastrukturen eine Bedrohung der nationalen Sicherheit darstellen können. Denn ein Angriff auf das Energienetz oder die Wasserversorgung kann Folgen haben, die nicht mehr nur für finanzielle Einbußen sorgen, sondern das Leben, so wie wir es kennen, völlig verändern könnten.

Mirai – Das Botnet of Things

Mirai – Das Botnet of Things

Die Dynamik des Internet of Things führt uns den täglichen Fortschritt der Digitalisierung vor Augen. Immer mehr Geräte sind mit dem Internet verbunden und ermöglichen den Nutzern Komfortabilität und Effizienz. Der Markt wird stets mit neuen Devices gefüllt und die Vielfalt an Funktionen macht die Nutzung für viele User attraktiv. Bereits heute besteht ein riesiges Netzwerk an Daten, Servern und vernetzten intelligenten Geräten – was jedoch durch die nicht bedachten Sicherheitslücken der Smart Devices eine neue und vor allem enorme Angriffsfläche für Cyberkriminelle darstellt.

Das Schadprogramm Mirai nutzte genau diese Schwäche aus: Im Oktober 2016 erlangte der Botnet-Virus erstmalig große Bekanntheit durch die bis dato größte gestartete DDoS-Attacke, unter anderem auf den DNS-Provider „Dyn“. Hierdurch waren Websites und Services vieler internationaler Konzerne, darunter Amazon, Netflix und Spotify, für eine längere Zeit nicht erreichbar. Für die Unternehmen kann das einen Verlust in Millionenhöhe bedeuten. Was genau steckt hinter der Malware, die sich die Schwächen des technologischen Fortschritts zu Nutze macht?

Die Entstehung des Mega Botnet

2016 war nicht das erste Mal, dass so ein IoT-Botnet „zuschlug“: Laut des unabhängigen Security-Journalisten Brian Krebs von „krebsonsecurity.com“, gab es bereits seit 2014 Mirai-ähnliche Vorgänger, bekannt als Bashlite, Gafgytm, QBot, Remaiten und Torlus. Der Botcode von Mirai entstand aus den verbesserten Codes seiner Vorläufer, zusammengetragen von mehreren Entwicklern. Finalisiert wurde er durch eine Gruppe Hacker, die sich im Jahr 2014 zusammenschloss und unter dem Pseudonym „lelddos“ mittels des Mirai Botnets DDoS-Attacken auf konkurrierende Minecraft-Server startete, um diese zu verlangsamen oder vom Netz zu nehmen, was deren Betreiber um viel Geld brachte.

Mirai wurde so programmiert, dass es die Malware von bereits infizierten IoT-Geräten entfernt und schließlich selbst übernimmt. Befallene Devices wiederum suchten nach weiteren anfälligen Geräten, um sie zu übernehmen. Durch die wachsende Anzahl an durch Mirai kontrollierten IoT-Produkten, wurde auch das Botnetz immer umfangreicher und die Hacker probierten sich an größeren Zielen. Im September 2016 fiel das französische Hosting-Unternehmen OVH einer DDoS-Attacke, mit einer Gesamtkapazität von bis zu 1,5 Terabit pro Sekunde, zum Opfer.

Kurz nach diesem Angriff veröffentlichte einer der Co-Entwickler Mirais, unter dem Namen „Anna-Senpai“, den Quellcode des Schadprogramms online. Dadurch ermöglichte der Autor vielen Hackern den Code zu kopieren und weiterzuentwickeln. Die Herausgabe führte zu einem raschen Anstieg von Nachahmern, die ihre eigenen Mirai-Botnets betrieben. Diese führten schließlich nur einen Monat später zum Angriff auf den Server von Dyn. Durch die Menge an neu entstanden Variationen von Mirai, wurde die Rückverfolgung der Verantwortlichen deutlich schwieriger. Das FBI kam jedoch nur ein paar Monate später drei jungen US-Amerikanern auf die Spur.

Am 5.Dezember 2017 bekannten sich die Hacker vor Gericht in Alaska schuldig, das Schadprogramm entwickelt und zu einem Botnet zusammengeschlossen zu haben, um Unternehmen und „anderen Zielen“ zu schaden. Den Gerichtsdokumenten zufolge plante die cyberkriminelle Gruppe darüber hinaus, mit einem eigenen DDoS-as-a-Service Angebot sowie als Schutzgelderpresser Geld zu verdienen. Um einer Gefängnisstrafe zu entgehen, stimmten die damals 21- und 22-Jährigen zu, das FBI bei der Aufklärung komplexer Cyberkriminalitätsuntersuchungen zu unterstützen. Trotzdessen umfasste das Strafmaß eine fünfjährige Bewährungszeit, 2.500 Stunden gemeinnützige Arbeit und eine Zahlung von Rückerstattungen in Höhe von 127.000 Dollar. Auch wenn die kriminellen Malware-Entwickler nun in „Schach“ gehalten werden, ist der Code noch immer in Umlauf und kann von anderen Hackern wiederverwertet, umfunktioniert und verbessert werden.

Die Rückkehr von Mirai

Im März 2019 entdeckten Sicherheitsexperten nun eine neue Variante von Mirai, die es vor allem auf die IoT-Geräte innerhalb von Unternehmen abgesehen hat. Cyberkriminelle versprechen sich damit eine noch höhere Angriffskraft, da sie über Unternehmensnetze Zugriff auf eine größere Bandbreite erhalten. Die neue Mirai-Version enthält mehrere zusätzliche Funktionen, darunter 11 weitere Exploits, womit die Malware insgesamt nun 27 Exploits aufweist. Diese zusätzlichen Features verleihen der Software eine noch größere Angriffsfläche. So verbreitet sich das Schadprogramm vor allem über Präsentationssysteme, Smart-TVs, Router und IP-Kameras.
Unternehmen wird geraten die Anmeldedaten ihrer eingesetzten IoT-Geräte zu ändern und die Sicherung dieser Geräte in ihrer IT-Sicherheit-Strategie ebenso zu berücksichtigen.

Diese Entwicklung zeigt die Unsicherheit, mit der IoT-Devices in der digitalisierten Welt konfrontiert sind – der Sicherheitsfaktor ist entscheidend, hinsichtlich der Unternehmen sowie der Nutzer. Eine Studie der Berkeley School of Information und das Center for Long-Term Cybersecurity (CLTC) ermittelte die Gesamtkosten auf Konsumentenseite, die bei einem Hack eines Smart Devices und durch zusätzlichen Stromverbrauch entstehen, wenn dieses Gerät bei einem Cyberangriff involviert wird: Beispielsweise betrugen die zusammengerechneten Kosten der Attacke auf das Unternehmen Dyn im Oktober 2016 für die IoT-Nutzer rund 115.000 Dollar. Im Worst-Case Szenario ergibt der Kalkulator eine Summe von etwa 68 Millionen Dollar, umgerechnet über 100 Dollar pro User, bei einer DDoS Attacke mit 600.000 involvierten IoT-Geräten.

Aufstieg der DDoS-Attacken

Die zusätzliche Angriffsfläche, die sich mit dem doch sehr schwach geschützten Internet-of-Things ergibt, macht sich unter anderem in der steigenden Anzahl an DDoS-Attacken auf Unternehmen bemerkbar.

Hornetsecurity News

 

 

Bleiben Sie informiert

 

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Gab es vor drei Jahren noch rund 9.000 Angriffe pro Quartal auf Unternehmens-Infrastruktur und Server im DACH-Raum, nahmen die Attacken von Jahr zu Jahr zu.
Im 1. Quartal 2019 wurden bereits 11.177 DDoS-Attacken allein in Deutschland, Österreich und der Schweiz registriert. Doch nicht nur die Anzahl der Angriffe ist im Aufschwung, auch das Volumen wächst deutlich. Laut des Link11 DDoS Reports Q1 2019 erreichte die größte DDoS-Attacke im deutschsprachigen Raum ein Volumen von 224 Gigabit pro Sekunde. Mit einem Zuwachs von 70 Prozent gegenüber dem Vorjahreszeitraum, betrug der Durchschnitt der mittleren Bandbreite dieses Quartal bereits 3,8 Gbps. Das Internet of Things trägt maßgeblich zu der erhöhten Leistungsfähigkeit der Attacken bei – ein Fakt, der wieder einmal die Cybersicherheit auf eine neue Ebene hebt.

Experten-Interview: Dr. Yvonne Bernard über Künstliche Intelligenz

Experten-Interview: Dr. Yvonne Bernard über Künstliche Intelligenz

 

Das Thema Künstliche Intelligenz ziert derzeit jede Diskussion über Digitalisierung. Als ehemalige Forscherin für offene Systeme und Vertrauens- und Sicherheitsmechanismen, hat diese Entwicklung unseren Head of Productmanagement Dr. Yvonne Bernard dazu veranlasst einmal genauer hinzusehen. In ihrem kürzlich veröffentlichten Beitrag: „AI – the same procedures as last century?“ blickt sie hinter den aktuellen Hype. Im folgenden Interview mit Yvonne erfassen wir die Hintergründe der innovativen Technologie, werfen einen Blick auf die Anwendung von künstlicher Intelligenz im unternehmerischen Kontext und diskutieren abschließend den Einsatz in der IT-Sicherheit.

Was hat dich dazu veranlasst, dem Thema KI nochmal näher nachzugehen?

Vor allem in den letzten Jahren habe ich eine enorme Zunahme von KI-Technologien festgestellt, die von Technologieunternehmen und Anbietern auf der ganzen Welt eingesetzt und – vielleicht noch wichtiger – beworben werden. Da ich mich in Forschung und Lehre bereits einige Jahre mit dem Thema auseinandergesetzt habe, war ich wirklich neugierig: Haben sich die Mechanismen, die ich an der Leibniz Universität Hannover genutzt und gelehrt habe, weiterentwickelt? Zwar dauert die Grundlagenforschung wie man sagt bis zu 20 Jahre, um (wenn überhaupt) aus der Grundlagenforschung in der wirtschaftsrelevanten Technologie herausgenommen zu werden, aber um ehrlich zu sein, ein Teil der Dinge, die wir damals genutzt haben wie z.B. Künstliche Neuronale Netze, waren bereits damals schon älter als ich.

Wenn du sagst, diese Technologie existiert bereits seit Jahrzehnten, warum wird sie erst jetzt angewandt?

Was den Einsatz von KI-Technologien mittlerweile wirklich lohnenswert macht, ist die Möglichkeit große Datenmengen zu speichern und zu verarbeiten und auch die Verarbeitungsschemata bei Bedarf anzupassen. Big Data bedeutet nicht, alles zu speichern und dann zu gucken was man damit macht: Man muss sich durchaus Gedanken um Datentypen machen, um auf Grundlage dieser Datenmengen effizient und effektiv rechnen zu können. Auch die Vermarktung dieser Technologien, die bereits seit Jahren angewendet werden, hat natürlich ihren Beitrag zum Hype geleistet. Ein weiterer Aspekt, ist die wachsende Anzahl und Qualität von frei verfügbaren und nicht mehr nur von Forschen nutzbaren Bibliotheken. Man muss nicht mehr lange nach geeigneter Software oder Frameworks suchen, um seine KI-Ideen in funktionierenden Code umzusetzen. Zu nennen wären hier Frameworks wie TensorFlow, Caffe und CNTK. Somit wird KI zunehmend zur schnellen und (nahezu) optimalen Lösung von realen Problemen eingesetzt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Was hat den Einsatz von KI in Unternehmen überhaupt möglich gemacht und worin besteht die Notwendigkeit?

Wie bereits erwähnt, sind vor allem die steigende Anzahl und Qualität an Bibliotheken sowie die Möglichkeit mit großen Datenmengen zu arbeiten, Wachstumstreiber der Anwendung von KI im unternehmerischen Umfeld. Darüber hinaus können mittlerweile ganz neue und zusätzliche Techniken wie das Supervised Machine Learning, zu Deutsch: überwachtes Lernen, eingesetzt werden. Hier wird eine bestimmte Teilmenge der verfügbaren Gesamtdaten verwendet, bei der man davon ausgeht, dass sie den Daten, für die die Algorithmen angelernt werden, sehr ähnlich sind. Ein „verlernen“ gewünschter Eigenschaften soll somit ausgeschlossen werden. Zum Vergleich: In Forschungslaboren muss immer darauf geachtet werden, dass die anzuwendenden Algorithmen gut parametrisiert und für den anvisierten Datensatz geeignet sind. Im Geschäftsleben möchte und kann man diese Zeit oft nicht aufwenden, um jeden möglichen Parametersatz zu bewerten. Zudem ist ein Lernalgorithmus, der etwas Unerwartetes lernt, für einen Forscher großartig, kann im Geschäftsleben jedoch nicht toleriert werden.

In welchen Branchen und Abläufen siehst du die größten Chancen für die Anwendung von Künstlicher Intelligenz?

Es ist sicher zu sagen, dass die KI nicht die einzige Lösung für jedes der heutigen Probleme sein wird. Aber es gibt Bereiche, in denen KI-Techniken einfacher und zugänglicher denn je sind und nichts sollte Entwickler und Systementwickler davon abhalten, die ehemalige reine Forschungstechnologie in irgendeiner Weise zu nutzen, die ihnen hilft, eine gute (oder wenn möglich die beste) Lösung für ihre realen Probleme zu finden. Ich möchte betonen, dass – auch bei Hornetsecurity – bereits viele Verfahren aus der Menge der KI-Methoden schon seit Jahren erfolgreich im Einsatz sind. Früher wurden derartige Verfahren jedoch nicht bewusst beworben, wohingegen KI heute als Qualitätskriterium oder zumindest als innovativ wahrgenommen wird. Allgemein ist die Anwendung grundsätzlich im Bereich der Optimierungsverfahren verbreitet und auch zu empfehlen, da reine Heuristiken oftmals qualitativ nicht ausreichen, die Ermittlung der eindeutig optimalen Lösung jedoch aufgrund der Laufzeitkomplexität nicht in der erwünschten Zeit möglich wäre. Geeignete Lernverfahren können hier in kurzer Zeit hervorragende Ergebnisse erzielen – wenn man sie sinnvoll zu verwenden weiß. Optimierungsverfahren lassen sich in nahezu allen Branchen finden.

Und abschließend: Bist du der Meinung das Künstliche Intelligenz die IT-Sicherheit beeinflussen und verändern wird?

Ja, absolut, und zwar in beide Richtungen: Nicht nur die Security-Forschung, sondern auch die Angreifer werden die Zugänglichkeit dieser Technologien verstärkt nutzen. Mit dem umfassenden Verständnis und der bereits seit vielen Jahren angewandten Erfahrung für diese Algorithmenklasse, sind wir bei Hornetsecurity bereits bestens auf dieses „Arms Race“ vorbereitet.

Security-Awareness: Der Mensch als Sicherheitslücke

Security-Awareness: Der Mensch als Sicherheitslücke

Rückblickend war das Jahr 2018 sehr ereignisreich – vor allem im Hinblick auf Cybersicherheit. So listet das amerikanische Tech-Magazin WIRED in seinem Rückblick der „Worst Hacks in 2018“ neben der Datenpanne bei Marriott und dem Cambridge Analytica Skandal um Facebook auch den Leak bei Quora und einige weitere. Auch das neue Jahr startete mit brisanten Nachrichten: persönliche Daten von über 900 aktiven sowie inaktiven Politikern standen frei zugänglich im Netz. Kurze Zeit später entdeckte der „Haveibeenpwned“-Gründer, Troy Hunt, eine Sammlung von über 700 Millionen Passwörtern aus vergangenen und aktuellen Hacks.

Innenminister Horst Seehofer (CSU) warnte vor dem Hintergrund des Politiker-Datenleaks vor Sorglosigkeit seitens der Nutzer und forderte ein risikobewusstes Handeln jedes Einzelnen. Denn kein IT-Sicherheitssystem sei zu 100 Prozent sicher. Schaut man sich die vielfältigen Angriffsarten an, setzen gerade Social Engineering-Attacken auf soziale Manipulation – also den Menschen als Schwachstelle.

Neben Angriffen wie Phishing, bergen CEO-Fraud– und Whaling-Attacken genau hier große Gefahren. Ihr Ziel ist es, Mitarbeiter eines Unternehmens zu täuschen, um an vertrauliche Daten wie beispielsweise Passwörter zu gelangen. Die Angreifer üben dazu emotionalen sowie zeitlichen Druck aus, um schneller an ihr Ziel zu gelangen. Laut einer Befragung von „KnowBe4“ gaben 77 Prozent der Befragten als Hauptursache für Angriffe im Jahr 2018 Social Engineering an – eine ernstzunehmende Erkenntnis.

Der Mensch als Schwachstelle im System – ist die Lücke zu schließen?

Ein Klick auf eine vermeintlich seriöse E-Mail, die Verwendung externer Datenträger, der Einsatz von unsicheren Passwörtern – schon kann es um die unternehmensinterne IT geschehen sein. Oftmals ohne Absicht, sondern eher durch Naivität oder Unwissenheit, gefährden Mitarbeiter ihr Unternehmen. Es fehlt die Sensibilisierung für solche Sicherheitsrisiken und das Wissen um ihre Vermeidung. Durch sogenannte „Security-Awareness-Trainings“ werden Mitarbeiter für Themen der IT-Sicherheit sensibilisiert. Ihnen werden verschiedene Angriffsarten zu Gemüte geführt und Ratschläge gegeben, wie sie sich und das Unternehmen davor schützen können.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Doch geht es um den Nutzen von Security-Awareness-Schulungen, scheiden sich die Geister. Einige Security-Experten halten derartige Maßnahmen für wirkungslos. Der amerikanische IT-Security Guru Bruce Schneier ist der Meinung, dass die dafür aufgewendeten Budgets stattdessen in sichere Software-Entwicklung und bessere Security-Schnittstellen investiert werden sollten. Er veranschaulicht dies mit einem Beispiel aus dem Gesundheitsbereich: Das Wissen um eine gesündere Lebensweise besitzen die meisten Menschen, doch geht es um die Umsetzung, erscheint der Weg aufs Sofa weitaus attraktiver als der ins Fitnessstudio. Auf die IT-Sicherheit übertragen, öffnet sich folgendes Bild: Das Kerngeschäft von Unternehmen liegt in unterschiedlichen Bereichen, jedoch oftmals nicht im IT-Sicherheitsbereich. Die Akzeptanz und Unterstützung von IT-Sicherheit durch die Mitarbeiter ist daher keine universelle Voraussetzung. Die meisten von ihnen kennen wahrscheinlich die gängigen Regelungen, empfinden doch einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden.

Security-Awareness im Unternehmen nicht zu fördern, wäre jedoch fatal. Olaf Petry, CISO bei Hornetsecurity meint dazu: “Es ist schwierig, Awareness mit Zahlen konkret und aussagekräftig zu messen. IT-Sicherheit wird von den Verantwortlichen meist als zu kostenintensiv und ohne erkennbares Ergebnis wahrgenommen. Wichtig ist jedoch, dass sie Einzug in die Köpfe der Mitarbeiter erhält und im Arbeitsprozess eingebunden, aktiv gefordert und gefördert wird.“

Security & Awareness:

Das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was er selbst tun kann, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit. Nehmen wir zwei Beispiele, um das zu verdeutlichen:

1. Beispiel: Mitarbeiter der Marketingabteilung:

Die Aufgaben von Mitarbeitern in der Marketingabteilung erstrecken sich auf viele Bereiche. Im Social Media-Bereich bauen sie eine Präsenz des Unternehmens in Netzwerken wie Facebook, Instagram und LinkedIn auf, pflegen diese mit regelmäßigen Inhalten und stärken so die Markenbekanntheit. Um eine Unternehmensseite zu erstellen, benötigt man im Fall von Facebook und LinkedIn ein persönliches Profil, um über dieses die Unternehmensseite aufbauen zu können. Beide Profile sind dann miteinander verknüpft. Diese Verknüpfung stellt zugleich ein Sicherheitsrisiko dar, denn hat der Mitarbeiter ein vergleichsweise einfach zu knackendes Passwort, haben die Cyberkriminellen freie Hand über das Unternehmensprofil, sobald ihnen die Zugangsdaten des Mitarbeiters in die Hände fallen.

2. Beispiel: BYOD im Unternehmen

In einigen Unternehmen herrscht eine „Bring-your-own-device“-Kultur – kurz: „BYOD“, das heißt, Mitarbeiter können auch mit privaten Endgeräten im Unternehmen arbeiten. Die Kultur bringt so seine Vorteile mit sich, jedoch auch einige Nachteile, wenn es um die firmeninterne IT-Sicherheit geht. Über eine ungepatchte Sicherheitslücke auf dem heimischen Laptop nistet sich eine fiese Malware ein. Der Mitarbeiter bekommt davon nichts mit: sie macht sich nicht bemerkbar und bleibt im Hintergrund. Greift der Mitarbeiter mit seinem Laptop auf unternehmensinterne Systeme zu, nutzt die Malware die Chance aufs große Ganze und verbreitet sich über die IT-Infrastruktur des Unternehmens weiter.

Vor dem Hintergrund dieser beiden Anwendungsbeispiele ist es sinnvoll, Mitarbeiter auch zur privaten IT-Sicherheit zu schulen und Programme zum Schutz zu empfehlen. „Für Hacker reicht meist ein kleines Schlupfloch aus. Sie arbeiten sich dann so weit hoch, bis sie quasi die ganze Lebensgeschichte des Opfers kennen. Im Unternehmensnetzwerk ist das ähnlich: Hier gibt es einiges für Hacker zu holen. Um daran zu kommen, suchen sie sich das schwächste Glied – und das ist eben der Mensch“, so Olaf Petry weiter.

Das Interesse für IT-Sicherheit steigt immens, wenn es um den Mitarbeiter persönlich geht. Einen Blick auf die eher unternehmensfremden Anwendungen wie WhatsApp und Dropbox zu werfen, kann sich daher lohnen.

Das Optimum aus Security-Awareness-Schulungen rausholen

Für die Konzeption eines Trainings empfiehlt Hornetsecurity IT-Sicherheitsexperte Olaf Petry folgendes: „Security-Awareness-Trainings sollten sich immer nach der Zielgruppe richten – stehe ich vor Mitarbeitern eines IT-Unternehmens oder einer Bank? Das technische Know-How ist bei der Themenauswahl sehr wichtig, um die Teilnehmer weder zu überfordern noch zu unterfordern. Jedoch sollten gängige Themen wie Passwortsicherheit immer Bestandteil einer Schulung sein.“

Generell sollte eine Schulung ausgewählte Awareness-Aspekte zum Thema haben. So könnte es ein Ziel sein, dass Mitarbeiter nach der Schulung eine der folgenden Fragen sofort beantworten können:

  • Wie sieht die aktuelle Bedrohungslage aus?
  • Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
  • Welche Schutzmaßnahmen muss ich im Fall einer Nutzung eines externen Datenträgers ergreifen?
  • Welche Gefahren ergeben sich durch soziale Netzwerke?
  • Wie gehe ich sicher mit meinen E-Mails und Passwörtern um?
  • Was ist Phishing und wie läuft eine entsprechende Attacke ab?
  • Wie verhalte ich mich bei Malware-Befall?

Wie bereits beschrieben, können Verbindungen zur privaten IT-Sicherheit sehr nützlich sein. Damit steigt auch die Motivation, überhaupt an einer Awareness-Schulung teilzunehmen. Interesse und Motivation sind dabei die Treiber, die den Lernprozess anschieben. Der Mitarbeiter möchte etwas lernen, also fällt es ihm leichter zu verstehen was er tun muss und warum er das tun muss.

Da Angriffe immer professioneller werden und neue Angriffsvektoren wie zum Beispiel durch das Internet of Things entstehen, sollten solche Schulungen in regelmäßigen Abständen wiederholt und aufgefrischt werden. Informationen zur aktuellen Bedrohungslage müssen zudem frühzeitig kommuniziert werden. So wissen Mitarbeiter wann besonders hohe Aufmerksamkeit gefordert ist.

Durch die schnelle Entwicklung neuer Technologien bleibt festzuhalten, dass IT-Sicherheit ein lebenslanges Lernen voraussetzt. So ist es mit einer Schulung nicht getan. „Aus Sicht der IT-Sicherheit müssten Awareness-Schulungen täglich durchgeführt werden, praktisch lässt sich das allerdings kaum realisieren“, so Petry.

Aktueller Einsatz von Security-Awareness-Schulungen

Rund die Hälfte der deutschen Unternehmen setzen laut BSI Lagebericht 2018 bereits auf Security-Awareness-Schulungen und nehmen Trainingsangebote von einem mittlerweile breiten Anbietermarkt wahr. Für 29 % der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 % der befragten Unternehmen planen jedoch ein entsprechendes Schulungsangebot für ihre Mitarbeiter.

Einsatz von Security Awareness-Schulungen in Unternehmen

%

Ja

%

Nein

%

In Planung

Die Untersuchung von KnowBe4 zeigt weiter, dass etwa 84 Prozent der Befragten angeben, dass ihr Unternehmen einen Rückgang von erfolgreichen Social Engineering-Angriffen (Phishing, CEO-Fraud etc.) feststellen konnte, nachdem Security-Awareness-Trainings implementiert wurden. Olaf Petry meint dazu: „Es liegt nicht allein am Menschen, dass etwa eine Phishing-E-Mail Erfolg hat. Hier spielen viele Sicherheitsebenen eine Rolle. Das menschliche Verhalten als einzige gemessene und bewertete Kenngröße ist hier nicht aussagekräftig.“

Der Erfolg einer Schulung kann nur geschätzt werden und der Effekt der Schulung ist vielleicht auch nur von kurzer Dauer. Es besteht immer eine Wahrscheinlichkeit, dass der Mitarbeiter am Ende wieder in alte Muster verfällt. „Für mich ist eine Schulung bereits dann erfolgreich, wenn jemand bei einer Phishing-E-Mail misstrauisch wird und den Angriff aufgrund seines vorhandenen Wissens aus der Schulung im Keim erstickt“, resümiert Petry.

Somit können auch wir sagen: Wenn wir es schaffen, dass eine Person, die diesen Beitrag liest, eine Attacke abwehrt, ist unser Ziel hiermit erreicht.

Weiterführende Informationen:

 

Erpresser machen Kasse – und das ganz ohne Malware

Erpresser machen Kasse – und das ganz ohne Malware

+++ Update: 773 Millionen gestohlene und veröffentlichte Online-Zugangsdaten – Sind Sie betroffen? +++

Hackern ist es gelungen, eine gigantische Zahl an Passwörtern und E-Mail-Adressen abzugreifen: Insgesamt sollen rund 773 Millionen Accounts betroffen sein, die in einem Hackerforum veröffentlicht wurden. Der Datendiebstahl wurde bekannt, nachdem der Sicherheitsforscher Troy Hunt, Betreiber der Passwort-Check-Webseite „Have I Been Pwned“ (HIBP), die Liste mit den Daten im Internet ausfindig gemacht hat. Die Auflistung der Passwörter und E-Mail-Adressen, benannt als „Collection #1“, sei so angeordnet, dass sie sich speziell für das so genannte „Credential Stuffing“ eigne. Hierbei wird ein Login-Mechanismus mit den Zugangsdaten gefüttert, der in der Lage ist, automatisiert Accounts zu hacken. Ob ein Account betroffen ist, kann auf dieser Webseite überprüft werden. Auch wenn die eigenen Konten nicht betroffen sein sollten, wird dringend empfohlen, die jeweiligen Zugangsdaten zu ändern.

Im Zuge der „Collection #1“ stellte unser Hornetsecurity Security Lab einen starken Anstieg an E-Mails fest, die die veröffentlichten Passwörter als eine Form von Erpressung nutzen. Die Aufmachung dieser E-Mails gestaltet sich folgendermaßen:

Collection 1

Abbildung 1 Darstellung der Betrugsmail

Doch die Betrugsmasche ist nicht neu, so berichteten wir bereits in einem vergangenen Blogpost über den aktuellen Sachverhalt:

Ihre Kreativität beweisen Online-Erpresser immer wieder aufs Neue. Mit einer aktuellen Spam-Welle setzen sie sogar noch einen drauf: Kriminelle versenden derzeit E-Mails, die ein echtes Passwort des Empfängers enthalten und bitten zur Kasse.

Erste Meldungen zu dieser Spam-Welle erschienen bereits Ende Juli. Heise Online stellt hier die äußerst erfolgreiche Masche vor:

In den E-Mails gibt der Erpresser an, im Besitz von angeblich existierenden Webcam-Aufnahmen des Empfängers zu sein, während dieser Seiten mit pornographischen Inhalten im Internet besucht hat. Um der Erpressung Nachdruck zu verleihen, gibt der Erpresser zudem an, das Passwort des Empfängers zu kennen.

Diese Masche ist zugegebenermaßen sehr schockierend und wird einige Empfänger zur Zahlung der geforderten Summe bewegt haben. Denn genau hier ist der Knackpunkt: Es handelt sich tatsächlich um ein echtes Passwort. Innerhalb der ersten Woche sollen schon über 50.000 US-Dollar über diese Spam-Welle eingegangen sein. Mittlerweile ist damit zu rechnen, dass die Erpresser weitaus mehr eingenommen haben.

Die E-Mail ist nach folgendem Muster aufgebaut:

„It appears that, (XX), is your password. May very well not know me and you are most likely wondering why you’re getting this e-mail, right?

In fact, I setup a viruses over the adult vids (adult porn) website and guess what, you visited this website to have fun (you really know what What i’m saying is). Whilst you were watching videos, your internet browser started out operating like a RDP (Remote Access) which provided me accessibility of your screen and webcam. after that, my software programs obtained all of your contacts from your Messenger, Outlook, FB, along with emails.

What did I do?

I produced a double-screen video clip. First part shows the video you’re watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.

Exactly what should you do?

Well, I think, $1500 is really a reasonable price for our little secret. You will make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” search engines like google). 

Bitcoin Address: 1MUCyUuh3YuqkdNbVPtTXNfJzahajctRou

(It’s case sensitive, so copy and paste it) 

Very important:

You’ve 1 day in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I am aware that you have read through this email message). If I don’t get the BitCoins, I will certainly send your video recording to all of your contacts including relatives, co-workers, and so forth. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you need evidence, reply with “Yes!” and i’ll undoubtedly send your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.“

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Woher kennen Erpresser mein Passwort?

Die Passwörter stammen aller Wahrscheinlichkeit nach von früheren Phishing-Attacken. Als gehackte Websites gibt heise zum Beispiel Online-Dienste wie Yahoo, LinkedIn, eBay oder YouPorn an. Auch nach unseren Informationen lässt sich vor allem LinkedIn als Passwort-Quelle bestätigen.

In den meisten Fällen handelt es sich jedoch um alte Passwörter, die von dem Empfänger nicht mehr in Gebrauch sind.

Mit hoher Wahrscheinlichkeit stammen die Passwörter aus früheren Raubzügen diverser Webdienste, die vor zwei Jahren öffentlich im Netz zugänglich waren.

Entwarnung gibt es auch zur Webcam-Aufnahme: es existiert kein Video!

Wie schütze ich mich?

Wir raten Ihnen dringend davon ab, die geforderte Zahlung zu tätigen. Ratsam ist es auch, kein Passwort mehrmals zu verwenden. Oft gelangen vertrauliche Nutzerdaten wie E-Mail-Adressen und Passwörter in die Hände Krimineller, aufgrund geringer Schutzmaßnahmen seitens der Webdienste. Verwenden Sie ein Passwort gleich für mehrere Dienste, erhalten die Erpresser damit einen Freifahrtschein für Ihre Accounts. Weiterhin sollten Sie in regelmäßigen Abständen Ihre Passwörter ändern.

Weiterführende Informationen: