Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

SaaS-Anbieter nur marginal betroffen

 

Mit Spectre und Meltdown sind derzeit zwei Bedrohungen für die IT-Infrastruktur von Unternehmen und Endanwendern in aller Munde. Zwar bestehen diese Sicherheitslücken schon seit längerem, nun jedoch wurden sie einer breiten Öffentlichkeit bekannt. Insbesondere bei Unternehmen ist die Unruhe und Sorge in der Folge groß, dass neben der eigenen Hardware auch die von IT Service Providern wie Hornetsecurity von der Schwachstelle betroffen sein könnten.

 

Vor allem bei Software-as-a-Service (SaaS)-Anbietern ist die Gefahr, dass diese Sicherheitslücke ins Gewicht fällt, jedoch überraschend gering. Der Grund: Bei SaaS Angeboten bestimmt der Anbieter direkt, welche Programme installiert werden und ob diese aus vertrauenswürdigen Quellen stammen. Fremdsoftware, über die Spectre und Meltdown zur Ausführung kommen könnten, gelangen überhaupt nicht erst auf die IT-Infrastruktur von Hornetsecurity.

 

 

Patchen für höchstmögliche Sicherheit

 

Um höchstmögliche Sicherheit gewährleisten zu können, patcht Hornetsecurity auch planmäßig seine Systeme. Zuvor werden die Verbesserungen umfassend auf dedizierten Testsystemen erprobt, um das Risiko plötzlicher Verhaltensänderung zu verringern. Nach erfolgreichem Testabschluss verteilen die zuständigen Hornetsecurity-Mitarbeiter die Patches stufenweise auf allen Systemen in der gesamten Cloud. Dieses Best-Practice-Vorgehen wendet Hornetsecurity generell bei Updates und Patches an, um ungewollte Nebenwirkungen schon im Test zu erkennen. Mit einem Performanceverlust, wie im Zusammenhang mit dem Einspielen der Patches berichtet wird, ist für unsere Kunden übrigens aufgrund des Kapazitätsmanagements der Hornetsecurity Cloud nicht zu rechnen.

 

Mit der Bekanntmachung der Hardwaresicherheitslücken Spectre und Meltdown richtete sich der Fokus auf zwei große Schwachstellen in der Computerarchitektur und hierbei direkt auf die Hardware. Diese erst kürzlich entdeckten Sicherheitslücken, die die große Mehrzahl von Prozessoren betreffen, bestehen schon, seit es Speculative Execution und Out-of-Order Excecution gibt. Bei Intel-Prozessoren besteht diese Lücke sogar schon seit 1995.

 

 

Prozessorspeicher als potenzieller Datenlieferant

 

Beide Exploits nutzen Schwachstellen in modernen Prozessoren aus und ermöglichen es bösartigen Programmen, Daten aus dem geschützten Speicher anderer Prozesse auszulesen. Da es sich um Sicherheitslücken in der Hardwarearchitektur handelt, sind davon alle Betriebssysteme betroffen. Somit sind auch virtuelle Maschinen (VM), mobile Endgeräte und Cloud-Lösungen angreifbar. Beide Angriffe sind nicht trivial auszuführen, sondern erfordern hohe Kenntnisse und ein sehr fundiertes Wissen. Doch was unterscheidet die Angriffsszenarios im Detail?

 

Meltdown

 

 

Der Exploit der Sicherheitslücke CVE-2017-5754 wird Meltdown genannt. Er beschreibt ein Szenario, bei dem der Angreifer Zugriff auf den Kernelspeicher fremder Prozesse bekommt und diese auslesen kann, indem Meltdown auf den Speicher des Betriebssystems zugreift. Dies wird durch eine Sicherheitslücke in der Out-of-Order Execution bewerkstelligt. Durch das Umsortieren von Prozessen liest der Prozessor vorläufig den Inhalt einer Speicherzelle aus und verarbeitet diese weiter, obwohl der aufrufende Prozess für diesen Speicherabschnitt eigentlich keine Rechte hat. In diesen Speicherzellen können auch sensible Daten liegen. Meltdown kann nur auf Prozessoren mit Out-of-Order Excecution ausgeführt werden, weshalb bei diesem Exploit nur Intel-Prozessoren betroffen sind.

 

 

Spectre

 

Der Exploit Spectre besteht aus den zwei Sicherheitslücken CVE-2017-5715 und CVE-2017-5753. Sie nutzen die sogenannte spekulative Ausführung von Prozessen aus, bei der Prozessoren bei Nichtauslastung vorausschauend mögliche Befehle ausführen. So laden sie während dieser Zeit zum Beispiel Bereiche des Speichers in den Cache, um so einen Geschwindigkeitsgewinn bei der tatsächlichen Ausführung zu bekommen. Mit Spectre kann ein Schadprogramm auf diesen Teil des Caches zugreifen und sensible Daten auslesen, sofern diese in den eingelesenen Speicherzellen liegen. Im Gegensatz zu Meltdown haben Angreifer hierbei jedoch keinen Zugriff auf den Speicher des Betriebssystems, was Spectre jedoch nicht ungefährlicher macht.

 

Von diesem Angriffsszenario sind fast alle modernen Prozessoren betroffen – dazu zählen auch ARM-Chips, die häufig in mobilen Endgeräten verbaut werden.

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Seriös und wenig verdächtig – so gelangen die sich seit einigen Monaten im Umlauf befindlichen Phishing-E-Mails, die angeblich von Amazon stammen sollen, in die Postfächer vieler Nutzer. Der Grund dafür: sie erwecken keineswegs den Anschein, dass es sich hierbei um eine dreiste Betrugsmasche handelt – ganz im Gegenteil. Die E-Mails kopieren das Design einer echten Amazon-E-Mail so gut, dass es für den Endnutzer quasi kaum zu unterscheiden ist. Zudem benutzen die Cyberkriminellen in diesen Phishing-E-Mails eine personalisierte Anrede, die der Glaubwürdigkeit der E-Mail zusätzlich Gewicht verleiht.

 

 

Beispiel einer Amazon Phishing E-Mail

Beispiel einer solchen Amazon Phishing-E-Mail (Zum Vergrößern klicken).

Bei einer auf diese Weise personalisierten Phishing-E-Mail spricht man von einer so genannten „Spear-Phishing-Attacke“. Diese gezielten Angriffe sind speziell auf eine einzelne Person oder auf eine Personengruppe ausgerichtet. Das Verhalten und die persönlichen Daten der Zielpersonen wurden dabei im Vorfeld intensiv ausgespäht, um die Spear-Phishing-E-Mail im Nachhinein so gut es geht zu personalisieren. Erkennbar sind die Betrugs-E-Mails faktisch nur anhand der Absenderadresse mit der sie versandt wurden. Diese können bei der Fälschung z.B. wie folgt lauten:

 

 

Genauere Informationen zu möglichen Absenderadressen, Aufbau der E-Mails und Inhalt finden Sie hier.

 

Was möchten die Angreifer erreichen?

 

Das Opfer wird in der E-Mail mit Verweis auf das Bundesdatenschutzgesetz dazu aufgefordert seine Daten zu verifizieren. Dazu wird es mit Klick auf einen Link auf eine gefälschte Webseite weitergeleitet, die von der echten Amazon-Seite kaum zu unterscheiden ist. Beim genaueren Hinsehen stimmt lediglich die verwendete URL nicht mit der von Amazon überein.

 

Auf dieser Seite soll der Betroffene dann Daten von sich preisgeben, um diese angeblich zu verifizieren. Die Hacker drohen ansonsten damit, wie im oberen Beispiel ersichtlich, den Zugang zum Account zu sperren. Hierbei handelt es sich natürlich um eine leere Behauptung. Wer der Aufforderung andersherum allerdings Folge leistet, der übermittelt seine Daten auf direktem Weg an die Betrüger. Diese nutzen sie dann im Anschluss, um auf Kosten des Betroffenen einzukaufen oder sie für andere kriminelle Machenschaften zu missbrauchen.

 

 

Erkennt Hornetsecurity Advanced Threat Protection die Fake-E-Mails?

 

Advanced Threat Protection von Hornetsecurity ist in der Lage die neuen Amazon-Phishing-Mails sowie auch andere Targeted Attacks zu erkennen. Anhand eines ganzen Bündels an Sicherheitsmechanismen, darunter Fraud Attempt Analysis, Identity Spooning Recognition und Intention Recognition können Bedrohungen dieser Art gezielt ausgefiltert werden. Ein Verlust von sensiblen Daten kann somit ausgeschlossen werden und Amazon Phishing-E-Mails gelangen gar nicht erst in die Postfächer der Mitarbeiter eines Unternehmens.

Cybercrime-Trends 2018: Diese Gefahren bringt das neue Jahr

Cybercrime-Trends 2018: Diese Gefahren bringt das neue Jahr

Ein Blick in die Zukunft kann sich lohnen. Vor allem beim Thema Cyberkriminalität ist es von Vorteil, wenn Unternehmen bereits ungefähr wissen, was sie im Folgejahr so alles erwarten kann. Denn bisher zeichnete sich jedes Jahr ganz individuell durch unterschiedliche Bedrohungsszenarien aus.

 

Galt das Jahr 2016 zum Beispiel noch als die Hochzeit des Phishings, wie aus einem Artikel von heise online zu entnehmen ist, bescherte uns 2017 eine Trendwende und wurde besonders stark durch Ransomware-Angriffe wie WannaCry, Bad Rabbit und NotPetya geprägt. Worauf können wir uns also 2018 einstellen? Wagen wir einmal einen Ausblick.

 

Kryptowährungen im Visier

 

Eines lässt sich zumindest jetzt schon sagen: Auch im Jahr 2018 werden neuartige und komplexere Angriffsverfahren wieder andere Maßstäbe setzen als bisher. Die bereits jetzt stark zunehmenden Cryptojacking-Attacken könnten zum Beispiel prägend für das kommende Jahr sein. Beim Cryptojacking handelt es sich um eine Angriffsmethode, bei der Cyberkriminelle fremde Rechner kapern, um mit ihnen Kryptowährungen, meist Bitcoins, zu schürfen.

 

Dabei genügt es schon, auf eine der bisher mehr als 50.000 Websites zu surfen, die den Schadcode beinhalten . Auf ihnen ist ein Javascript-Schnipsel des Cryptomining-Dienstes „Coinhive“ eingebunden, der die Rechner automatisch dazu bringt, Kryptowährungen für die Hacker zu „schürfen“. Die Prozessorleistung betroffener Geräte wird dadurch derart beansprucht, dass diese kaum mehr für andere Tätigkeiten zu gebrauchen sind.

 

Aufgrund des anhaltend hohen Kurses von Kryptowährungen gilt es ebenso als wahrscheinlich, dass es auch in 2018 wieder neue Ransomware-Arten geben wird, die sich auf die Erpressung von Bitcoin und Co. spezialisieren. Im Fadenkreuz könnten hierbei insbesondere Smart-Devices wie Fernseher oder Handys mit Android-Betriebssystem sein, da diese für Hacker besonders leicht zu kapern sind.

 

 

Makros und Exploits sorgen weiterhin für Ärger

 

Die Angriffe mit schädlichen Skripten, die Internetkriminelle besonders gerne in Office-Dateien verstecken, werden uns wohl auch 2018 weiter begleiten.

 

Sie zielen darauf ab, beständig von unterschiedlichen Geräten aus mit kompromittierten Webseiten zu kommunizieren. Hierbei nutzen die Angreifer zum Beispiel PowerShell, um Command-and-Control-Aktivitäten auszuführen und so die gewünschte Wirkung zu erzielen.

 

Insbesondere warnt unser Security Lab allerdings vor Angriffen, bei denen Exploits zum Einsatz kommen. Im Gegensatz zu Makros benötigen diese weniger oder gar keine Benutzerinteraktionen um das System zu infizieren. Dafür werden häufig Schwachstellen in beliebter Software kurz nach ihrem Bekanntwerden ausgenutzt. Sind die Systeme der Opfer noch nicht geupdated, dann haben die Hacker leichtes Spiel.

 

 

Das „Internet der Dinge“ ist beliebt – auch bei Cyberkriminellen

 

Das „Internet der Dinge“ ist schon längst in aller Munde. Die Vernetzung von Gegenständen ist allerdings nicht nur bei technikbegeisterten Menschen beliebt. Zunehmend erfreuen sich auch Cyberkriminelle an ihr. Das liegt schlichtweg darin begründet, dass viele der drahtlos vernetzten Gegenstände sicherheitstechnisch nicht ganz auf dem neuesten Stand der Dinge sind.

 

Der ERP-Entwickler NaoLogic bezeichnet das “Internet of Things” auf Twitter deshalb schon scherzhaft als “Internet of Ransomware Things”.

 

 

Was unsicher konfigurierte IoT-Devices für eine hohe Angriffsfläche bieten, hat uns bereits das „Mirai-Botnetz“ eindrucksvoll gezeigt. Es kaperte millionenfach mit dem Internet verbundene Alltagsgegenstände wie Router, Überwachungskameras und sogar Toaster. Es folgten großflächige DDoS-Attacken, die sogar zeitweise zu Störungen bei Amazon, Netflix oder Twitter, also sehr populären Internet-Diensten, führten.

 

Auch Branchen wie etwa der Medizin-Sektor machen mittlerweile vermehrt Gebrauch vom Internet der Dinge. Denn natürlich ist es praktisch, medizinische Geräte mit dem Internet zu verbinden, um so z.B. Krankenakten digitalisieren zu können. Allerdings sind die Gefahren, die hierdurch entstehen können, nicht zu unterschätzen.

 

 

Fazit: Die richtigen Vorkehrungen ersparen eine Menge Ärger

 

So bedrohlich die neuen Entwicklungen auch scheinen mögen: Unternehmen, die bereits ein ausgeklügeltes und erprobtes IT-Sicherheitskonzept nutzen, haben vergleichsweise wenig zu befürchten.

 

Der bloße Einsatz von Antiviren-Software hingegen, sorgt noch nicht für eine sichere IT-Infrastruktur. Im Gegenteil, der Gebrauch herkömmlicher Antiviren-Programme kann sogar negative Auswirkungen auf die IT-Sicherheit eines Unternehmens haben, wie wir bereits berichteten.

 

Tatsächlich kommt es auf viel mehr an: Funktionierende IT-Sicherheitskonzepte basieren insbesondere auf Prävention und dem Einsatz von wirkungsvollen IT-Sicherheitslösungen. Dabei spielen verstärkt cloud-basierte IT-Sicherheitslösungen wie die Services von Hornetsecurity eine Rolle. Sie schützen Sie sogar gegen die ausgeklügeltsten Cyberangriffe, damit selbst Ransomware und Co. ihr Unternehmen nicht aus der Bahn werfen können.

 

 

Auch interessant:

 

Sie möchten mehr darüber erfahren, wie wir mit Advanced Threat Protection selbst ausgeklügeltste Cyber-Attacken wie Ransomware, CEO-Fraud und Spear-Phishing abwehren? Dann schauen Sie sich doch unser neues Produktvideo an!

 

Fußball-Mädchen des HSC freuen sich über neue Trainingsanzüge

Fußball-Mädchen des HSC freuen sich über neue Trainingsanzüge

Die derzeit insgesamt 16 E-Jugend-Fußballerinnen des Hannoverschen Sport-Club von 1893 e.V (HSC) befinden sich gerade einmal im Alter zwischen 7 und 10 Jahren und kicken schon wie die Großen! Regelmäßig messen sie sich als 7er Mannschaft in der 1. Kreisklasse mit Teams aus der Umgebung.

 

Ihr Verein, der HSC, ist mit knapp 30 Mannschaften der unterschiedlichsten Klassen, nicht nur im Fußball stark vertreten, sondern bietet auch noch zahlreiche andere Sportarten, wie Tischtennis, Schwimmen oder Segeln an.

 

Nun können sich die Mädchen über neue Trainingsanzüge freuen, die ihnen Hornetsecurity im Rahmen einer Sponsoring-Aktion zur Verfügung gestellt hat. Dabei ist die Unterstützung quasi Nachbarschaftshilfe, denn die Trainingsplätze der Mädchen befinden sich an der Constantinstraße im Stadtteil Hannover-List, unweit der Büroräume von Hornetsecurity.

 

Auch bei den jungen Fußballerinnen hätte die Freude größer nicht sein können: Sie konnten es kaum abwarten, bei der offiziellen Vorstellung ihre brandneuen Trainingsanzüge mit je einer Hornisse auf dem Rücken sowie auf dem Bein anzuprobieren. Mit einem selbst gemalten Transparent bedankten sie sich dann auch gleich beim Unternehmen. Hornetsecurity gibt natürlich ein herzliches „Dankeschön!“  zurück und wünscht viel Erfolg beim nächsten Spiel!

 

 

Noch ein paar Bilder von der Präsentation:

Hochverfügbarkeit – Immer noch Nachholbedarf beim Mittelstand

Hochverfügbarkeit – Immer noch Nachholbedarf beim Mittelstand

Wenn der E-Mail- Server oder eine andere wichtige Komponente im Firmennetzwerk ausfällt, dann ist guter Rat teuer. Einen vier- bis sechsstelligen Betrag kostet ein solcher Vorfall ein mittelständisches Unternehmen mit 200 bis 500 Mitarbeitern – pro Stunde. Dies geht aus einer von Techconsult durchgeführten Studie hervor. Diese Summe setzt sich aus vielen verschiedenen Faktoren zusammen, darunter verlorene IT-Produktivität, der verlorene Umsatz in der Downtime-Zeit sowie den Kosten nach dem Ausfall.

 

Dennoch nehmen manche mittelständische Unternehmen das Thema Hochverfügbarkeit und Ausfallzeit nicht ernst genug und reagieren meist erst dann, wenn es bereits zu spät ist. Doch was können Unternehmen tun, um es erst gar nicht zu solchen Horrorszenarien kommen zu lassen?

 

Wer sich mit Hochverfügbarkeit von IT-Infrastrukturen schon einmal beschäftigt hat, der weiß um die Komplexität der Materie. Es ist daher für Unternehmen mit weniger Know-How in ihrer IT-Abteilung schwierig, diese Problematik adäquat zu behandeln. Oft liegt bei ihnen kein ausreichendes Konzept diesbezüglich vor. Zudem scheuen sich viele vor den vermeintlichen Kosten, die eine Anpassung der Systeme mit sich bringt.

 

Stromausfälle oder Festplattencrashs gehören zu den unbeliebtesten Ereignissen, die in der IT-Abteilung eines Unternehmens auflaufen können. Erst recht, wenn das Thema Hochverfügbarkeit jahrelang in nicht ausreichendem Maße auf den Zetteln der IT-Verantwortlichen stand. Gerade mit Blick auf den E-Mail-Verkehr ist das besonders ärgerlich.

 

Denn wenn es zum Worst-Case kommt und der E-Mail-Server ohne alternativen Kommunikationsweg ausfällt, können Mitarbeiter nicht nur keine E-Mails mehr versenden und empfangen, sondern die in dieser Zeit eingehenden E-Mails werden den Adressaten auch nach Wiederherstellung der E-Mail-Kommunikation nicht mehr erreichen. Der dadurch entstehende wirtschaftliche Schaden kann daher schnell anwachsen. Für Unternehmen stellt sich daher die Frage, wie sie dieses Szenario effektiv und schnell lösen können.

 

Einfach und sicher zur Hochverfügbarkeit– so klappt’s

 

An dieser Stelle kommen cloud-basierte Security-Lösungen ins Spiel. E-Mail-Continuity von Hornetsecurity bietet Unternehmen zum Beispiel eine garantierte Verfügbarkeit des E-Mail-Verkehrs von 99,9%. Durch automatisches Monitoring aktiviert sich der Service bei einem Ausfall des E-Mail-Servers sofort und von selbst und verhindert somit eine Unterbrechung des Kommunikationswegs.

 

Die E-Mails werden dann auf einem alternativen Weg (POP3/IMAP-Postfach oder Webmail-Zugang) zugestellt. Sollte es sogar zu einem Totalausfall der IT-Systeme kommen und die Zustellung auf alternativem Weg ebenfalls nicht möglich sein, werden die E-Mails solange vorgehalten, bis der E-Mail-Server wieder erreichbar ist. Ein Verlust von E-Mails ist dabei ausgeschlossen, denn selbst wenn E-Mails versehentlich gelöscht werden, steht innerhalb weniger Sekunden ein Backup des Mailverkehrs der letzten 90 Tage zur Verfügung. Somit bekommen Mitarbeiter und Kunden im Idealfall noch nicht einmal mit, dass es Ausfallzeiten in der IT-Infrastruktur gibt.

 

Führt man sich die Zahlen vor Auge, dass laut einer Studie über die Hälfte aller befragten IT-Spezialisten (57%) in den vergangenen drei Monaten mindestens einen Systemausfall zu beklagen hatten, lässt sich erahnen, dass Services wie der Continuity Service von Hornetsecurity noch lange nicht ausgedient haben. Hier besteht also noch akuter Nachholbedarf. Die mittelständischen Unternehmen sind für die Gefahren und insbesondere die daraus resultierenden Kosten noch nicht im ausreichenden Maße sensibilisiert. Wollen sie mithalten und auch in Zukunft wettbewerbsfähig bleiben, sollten sie sich intensive Gedanken über den Einsatz von Cloud-Security-Services machen.