Spam-Panne fördert tausende gehackte Accounts zutage

Spam-Panne fördert tausende gehackte Accounts zutage

Cyberkriminelle sind dafür bekannt, besonders sorgfältig und im Verborgenen zu agieren. Oft wird der von ihnen angerichtete Schaden erst eine ganze Zeit später erkannt. Nun lieferten sich Spammer allerdings einen besonders brisanten und gefährlichen Fauxpas.

Bei einer routinemäßigen Kontrolle von Spam-E-Mails machte das Security Lab von Hornetsecurity einen außergewöhnlichen Fund. Sie stießen auf Spam-E-Mails, die ihre Empfänger mittels eines Links in 3 bis 4 Zeilen Fließtext, auf eine bekannte Spamseite lotsen wollten. Anreiz hierfür sollte ein vermeintlicher Geldgewinn sein. Bis zu diesem Punkt alles andere als ungewöhnlich – doch der Schein trügt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Wirft man einen Blick in den Quellcode der E-Mail, dann fällt einem zu allererst auf, dass bestimmte Header-Zeilen ungewöhnlich lang sind. Insbesondere die Dateigröße ist mit über 900 Kilobyte besonders unverhältnismäßig zur Textlänge von 3 bis 4 Zeilen. Das liegt darin begründet, dass sich in der Spam-E-Mail übermäßig viel Blindtext befindet, der noch vor dem eigentlich sichtbaren Text eingefügt wurde. Durch bekannte Tricks wird der Blindtext vor der Anzeige im E-Mail-Client geschützt. Die Spammer erhoffen sich durch diese Taktik, die Spamfilter umgehen zu können. Denn diese werten in der Regel nur eine bestimmte Anzahl von Zeichen und Zeilen aus.

Den eigentlichen Fauxpas leisteten sie sich allerdings erst später. Bei einer Version der Spam-E-Mail, fügten die Kriminellen nicht den kryptischen Fülltext als Blindtext ein, sondern stattdessen versehentlich eine Liste der Zugangsdaten tausender echter E-Mail-Accounts.

Hierbei handelt es sich um gehackte Accounts, über die die Kriminellen ihre Spam-E-Mails versenden, bis diese gesperrt werden. Hornetsecurity steht bereits in Kontakt mit den betroffenen nationalen und internationalen E-Mail-Providern. Es wurden bereits entsprechende und notwendige Sicherheitsmaßnahmen getroffen und die Besitzer der E-Mail-Accounts kontaktiert. Ihre Accounts werden zunächst gesperrt, um weiteren Missbrauch zu vermeiden.

Vielleicht ebenfalls für Sie von Interesse:

Erfolgsprodukt CEO-Fraud – alte Masche, bleibende Gefahr

Erfolgsprodukt CEO-Fraud – alte Masche, bleibende Gefahr

Mittlerweile ist es ruhiger geworden um ihn, doch ausgestorben ist er noch lange nicht. Die Rede ist vom so genannten CEO-Fraud – vielen auch als Chef-Betrug oder Chef-Masche bekannt. Noch immer sorgt der digitale Trickdiebstahl bei vielen Unternehmen für Unmut und hohe wirtschaftliche Schäden, wie zuletzt bei einer Firma im hessischen Landkreis Groß-Gerau. Unbekannten gelang es, durch die Anwendung von CEO-Fraud eine Summe von 380.000 Euro zu erbeuten. Weltweit fordern Angreifer jährlich mehr als drei Milliarden Euro ein. Das entspricht in etwa dem Gewinn des Automobilherstellers Volkswagen im Jahr 2017.

Wichtige Kennzahlen zu CEO-Fraud in Unternehmen

Millionen Euro im Jahr erbeutete eine Gruppe Cyberkrimineller durch CEO-Fraud in Deutschland zwischen 2014 und 2017

%

beträgt die Erfolgsquote bei CEO-Fraud Attacken laut Info Security Magazine

Wie aber ist es möglich, dass die Erfolgsquote der Cyberkriminellen selbst Jahre nach Bekanntwerden der Angriffsmethode noch immer alarmierend hoch ist? Im Folgenden werfen wir einen Blick auf die Vorgehensweise und die ausgeklügelten Betrugstechniken der Täter, um den Erfolg der Masche besser nachvollziehen zu können.

Perfekte Planung ist die halbe Miete: Die Vorbereitungsphase eines CEO-Frauds

Im Visier eines CEO-Frauds steht in der Regel eine einzige Person. Meist ein Mitarbeiter der Buchhaltung mit direkter Befugnis für Überweisungen. Um den Betrug so authentisch wie möglich durchführen zu können, bedarf es zunächst einer außerordentlich guten Vorbereitung. Das Zauberwort hierbei heißt Social Engineering. Beim Social Engineering versuchen die Kriminellen im Vorfeld so viele Informationen wie möglich über ihr Opfer herauszufinden. In sozialen Netzwerken wie Facebook, Linkedin oder Xing werden sie fündig. Meist ist es ein Leichtes, so an Informationen wie die Berufsbezeichnung, den Arbeitsort oder sogar das komplette Organigramm eines Unternehmens zu gelangen.

Tricksen und Täuschen: Die Angriffsphase eines CEO-Frauds

Haben die Erpresser erst einmal genügend relevante Informationen gesammelt, beginnt die erste Kontaktaufnahme und damit die Angriffsphase des CEO-Fraud. Die Angreifer müssen es nun schaffen, eine gewisse Vertrautheit bei der Zielperson zu suggerieren. Dies leisten sie, indem sie sich in ihrer E-Mail auf aktuelle Themen aus dem Unternehmen beziehen. Dabei kann es sich beispielsweise um eine bevorstehende Übernahme oder neue Umsatzzahlen handeln, die sie im Vorfeld aus Pressemitteilungen entnommen haben.

Um dem Betrug die Krone aufzusetzen, legen einige Kriminelle E-Mail-Adressen an, die der E-Mail-Adresse des Geschäftsführers ähneln. Ein perfider Trick hierbei ist es, bestimmte Buchstaben einfach durch täuschend ähnlich aussehende Buchstaben zu ersetzen. Der Buchstabe „L“ in mueller@beispielunternehmen kann zum Beispiel sehr simpel durch ein großes „I“ ersetzt werden. Für den Laien ist dieser von Experten als Spoofing bezeichnete Schwindel nur bei sehr genauem Hinsehen zu erkennen.

Ein weiterer Trick ist das Vortäuschen einer bereits bestehenden E-Mail-Kommunikation. Weiß der Angreifer, mit welchen Personen der Chef eines Unternehmens üblicherweise kommuniziert und im für ihn besten Fall sogar über welche Themen, kann er eine solche Kommunikation nachahmen. Gefälschte Logos und E-Mail-Signaturen runden das Gesamtbild ab.

In ihren E-Mails greifen die Cyberkriminellen tief in die psychologische Trickkiste, um die von Ihnen gewollten Transaktionen zu initiieren. Das kann zum Beispiel Lob für die Arbeit der Zielperson oder auch der Aufbau von Druck sein. Oft geben die Angreifer zum Beispiel vor, die gewünschte Summe Geld müsse möglichst schnell überwiesen werden, da sonst ein wichtiger, diskreter Deal scheitern könne. Diskret deshalb, damit die im Visier stehende Person keine weiteren Kollegen in die Angelegenheit einweiht und der Betrug auffliegen könnte.

Was macht den Erfolg der Betrugsmasche aus?

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Wie auch bei anderen Cyberattacken, stellen die Mitarbeiter selbst den größten Risikofaktor dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit langem vor einem zu sorglosen Umgang mit persönlichen Daten. Doch auch die Unternehmen tragen ihren Beitrag dazu bei. Sie veröffentlichen eine Vielzahl von Informationen in den sozialen Netzwerken, die zu Marketingzwecken dienen sollen. So haben Angreifer leichtes Spiel und können sich ohne große Schwierigkeiten an einer Vielzahl von Inhalten bedienen.

Ein weiterer entscheidender Faktor der Betrugsmasche stellt die psychologische Komponente dar. Die Angreifer nutzen hier gezielt Emotionen, wie etwa Respekt und Vertrauen vor der nächst höheren Hierarchieebene schamlos aus, um ihre Opfer zu manipulieren. Durch die langwierige Vorbereitung und die meist sehr ausgefeilte Umsetzung kann der CEO-Fraud so sehr hohe Erfolgsquoten erzielen.

Wie schütze ich mein Unternehmen gegen CEO-Fraud?

Ein gesundes Misstrauen und die richtige Aufklärung sind das A und O im Kampf gegen die Chef-Masche. Aus Sicht eines Unternehmens macht es zum Beispiel Sinn, der Unwissenheit vieler Mitarbeiter mit regelmäßig stattfindenden Infoveranstaltungen entgegenzuwirken. So kann gezielt auf die Tricks der Betrüger, wie die Buchstabendreher oder falsche Signaturen hingewiesen werden.

Auch der Einsatz eines E-Mail-Verschlüsselungsservice kann hier Abhilfe schaffen, da eine falsche oder fehlende Signatur auf diesem Weg sofort ins Auge fällt. Wer sich trotz allen Vorkehrungen nicht sicher ist, ob eine E-Mail wirklich „echt“ ist, sollte sich bei dem vermeidlichen Absender einer E-Mail zum Beispiel telefonisch rückversichern. Dies kostet nur wenig Zeit und kann einen möglichen Betrug schon im Anfangsstadium unterbinden.

Mittlerweile existieren sogar Mittel und Wege, solche betrügerischen E-Mails erst gar nicht in die Postfächer der Mitarbeiter gelangen zu lassen. Managed Security Services, wie Advanced Threat Protection von Hornetsecurity sind mittels ausgeklügelter Forensiksysteme in der Lage, hochkomplexe Angriffsmuster wie CEO-Fraud zu durchschauen und sie im Vorfeld zu blockieren. Sobald ein Angriff entdeckt wird, schickt ATP eine automatisierte Benachrichtigung an die Sicherheitsverantwortlichen. Auf diese Weise wird dem CEO-Fraud sofort der Wind aus den Segeln genommen und Ihre Mitarbeiter können sich wieder voll und ganz auf ihre eigentlichen Aufgaben konzentrieren.

Vielleicht ebenfalls für Sie von Interesse:

 

Cybersicherheit in Deutschland – wer sorgt für unser digitales Wohl?

Cybersicherheit in Deutschland – wer sorgt für unser digitales Wohl?

109,6 Milliarden Euro – so viel Geld verlor die deutsche Wirtschaft im Jahr 2017 durch Cyberkriminalität, Tendenz stark steigend. Die Bundesregierung hat die Zeichen der Zeit erkannt und schenkt dem Thema nun verstärkt Aufmerksamkeit. In diesem Blogbeitrag beantworten wir die Frage, welche Institutionen im Netz für Recht und Ordnung sorgen und warum diese so wichtig sind.

Das Konzept der Cybersicherheit

Das Bundesministerium des Inneren (BMI), zuständig für die Innenpolitik Deutschlands, hat zusammen mit den restlichen Mitgliedern des Cyber-Sicherheitsrat ein Konzept entwickelt, um kriminelle Cyberangriffe künftig besser abwehren zu können. Digital Criminals versuchen mit ihren Attacken Sicherheitslücken zu nutzen, um mit Hilfe von Ransomware und anderen Viren Geld zu stehlen. Der Zugriff auf fremde Rechner ermöglicht Wirtschaftsspionage, Diebstahl von sensiblen Daten und Erpressungsversuche.

Ein Hackerangriff wird häufig erst nach längerer Zeit erkannt. So haben die Angreifer Zeit, wichtige Dateien zu stehlen. Dies kann neben einem hohen finanziellen Schaden auch zu großen Imageschäden führen.

Diese sogenannten Advanced Persistent Threats haben in den letzten Jahren sowohl quantitativ als auch qualitativ zugenommen. Es wird für herkömmliche Schutzprogramme nahezu unmöglich diese ausgeklügelten Angriffe zu erkennen und abzuwehren.

%

aller CEO-Fraud Attacken sind laut Security Magazine erfolgreich

Die Ausrichtung der Cybersicherheits-Strategie

Das BMI hat ein Konzept vorgestellt, um die Cybersicherheit, die Digitalisierung und damit die Industrie 4.0 voranzutreiben. Die Konzeption ist in vier Handlungsfelder gegliedert.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Handlungsfeld I: Prävention

Die Bundesregierung setzt im ersten Feld auf Prävention. Die Kompetenz der Bevölkerung muss geschult werden. Digitale Bildung soll zukünftig ein fester Bestandteil des Bildungsprogramms sein und in den Lehrplan von Bildungseinrichtungen aufgenommen werden. Jeder Schulabgänger soll ein technisches Grundverständnis im sicheren Umgang mit Informations- und Kommunikationstechniken besitzen.

Um die Digitalisierung weiter vorantreiben zu können, brauchen wir sichere Systeme, die den benötigten Schutz gewährleisten. Die Entwicklung dieser ist ein wandelnder Prozess, der stark vorangetrieben werden muss.

In diesem Zusammenhang werden auch die bestehenden Kompetenzzentren für IT-Sicherheitsforschung CRISP (Darmstadt), CISPA (Saarbrücken) und KASTEL (Karlsruhe) weiter ausgebaut.

Handlungsfeld II: Zusammenarbeit von Staat und Wirtschaft

Im zweiten Handlungsfeld stehen der Staat und die Wirtschaft im Mittelpunkt. Beide müssen eng zusammenarbeiten, um langfristig eine stabile und sichere digitale Infrastruktur gewährleisten zu können.
Zunächst sollen digitale Strukturen von Einrichtungen, die einen gesellschaftlichen Auftrag haben (Energie, Gesundheit, Wasser, etc.) gesichert werden. Diese werden auch „Kritische Infrastrukturen“ genannt, weil ein Ausfall dieser zu weitreichenden Folgen führen kann.

Der Staat will mit Forschungsprogrammen Unternehmen zu einer stärkeren Weiterentwicklung im, Bereich der Cybersicherheit, bringen. Universitäten und Hochschulen sollen mit IT-Firmen gemeinsam an Projekten arbeiten, damit Stärken beider genutzt werden und Knowhow ausgetauscht wird.

Handlungsfeld III: Einrichtung und Weiterentwicklung von nationalen Abwehrzentren

Eine moderne Cyber-Sicherheitsarchitektur begreift die Sicherheit als eine permanente Aufgabe. Um bei akuten Sicherheitsproblemen in einer „Kritischen Infrastruktur“ direkt helfen zu können, werden die Einrichtung und Weiterentwicklung von nationalen Abwehrzentren vorangetrieben.

Um Cyberangreifer künftig besser strafrechtlich verfolgen zu können, hat das BKA eine Quick Reaction Force (QRF) eingerichtet. Die QRF ist in direkter Absprache mit der zuständigen Staatsanwaltschaft oder Bundesanwaltschaft in der Lage, die ersten Prozesse für eine strafrechtliche Verfolgung in Gang zu setzen.

Im Bundesamt für Verfassungsschutz wurden bereits „Mobile Cyber-Teams“ zusammengestellt. Sie bestehen aus IT-Spezialisten, Nachrichtendienstlern und Experten zur Abwehr von Cyber-Angriffen.

Bei einem Cyberangriff mit nachrichtendienstlichem oder terroristischem Hintergrund, kommen diese Teams zum Einsatz. Um Informationen besser koordinieren zu können wurde eine zentrale Stelle für Informationstechnik und Sicherheitsbereich (ZITiS) gegründet. Diese dient als Forschungs- und Entwicklungsstelle mit den Aufgabenschwerpunkten: digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse und Big-Data-Auswertung.

Handlungsfeld IV: Internationalisierung

Im vierten Feld wird die internationale Zusammenarbeit fokussiert. Deutschland setzt sich gezielt für diese Art der Kooperation ein, indem man sich beispielsweise in der NATO für einen sicheren digitalen Datenverkehr engagiert.

Die Diskrepanz der Entwicklungsstände der NATO-Mitglieder stellt das Projekt vor große Herausforderrungen. Diese Differenzen müssen bewältigt werden. Ein internationaler Informationsaustausch ist essenziell um Wirtschaftsspionage und Cyberangriffe bekämpfen zu können. Angriffe müssen durch Regelungen erschwert werden und über die Grenzen Deutschlands und Europas ihre Gültigkeit bewahren.

Aufbau der Infrastruktur

Die „Stiftung Neue Verantwortung“ hat eine Grafik erstellt, die die Zusammenhänge zwischen den Instituten aufzeigt. Die Verknüpfungen in der Visualisierung repräsentieren unterschiedliche Beziehungsaspekte und reichen von der Entsendung von Mitarbeitern in die verknüpfte Organisation, über eine Mitgliedschaft im Beirat sowie finanzielle Zuwendung bis hin zur Fach- und Rechtsaufsicht. Die Farben haben keine Bedeutung und dienen lediglich zur besseren Lesbarkeit.

Hier geht es zur Legende

Die Wichtigsten Cybersecurity-Institutionen auf einen Blick

Der Aufbau der verschiedenen Institutionen für Cybersicherheit ist komplex, deswegen stellen wir im Folgenden die wichtigsten Organe vor.

Der Cyber-Sicherheitsrat ist ein Zusammenschluss aus mehreren Institutionen. Unter anderem ist das Bundesministerium der Verteidigung in diesem Rat vertreten. Die nationale Verteidigung durch Cybersecurity ist ein wichtiger Bestandteil des Verteidigungsministeriums. Das Ministerium setzt auf Kooperationen mit dem Cyber Innovation Hub und dem Cooperative Cyber Defense Centre of Exellence der Nato.

Der Wichtigste Bestandteil des Cyber-Sicherheitsrates ist das Bundesministerium des Inneren (BMI). Das BMI erstellt die Cyber-Sicherheitsstrategie für Deutschland und koordiniert weitere Institutionen. Dem BMI unterliegen mehre Institutionen, die sich ebenfalls mit der Cybersicherheit befassen. Die wichtigsten Ämter werden im Folgenden kurz genannt und deren Aufgaben erläutert.

BSI: Das Bundesamt für Sicherheit in der Informationstechnik ist für die Sicherheit der Informationstechnik des Bundes verantwortliche. Außerdem erstellt das BSI die Mindestanforderrungen für Cyber-Sicherheitstechniken.

BKA: Das Bundeskriminalamt ist für die Ermittlung und Klärung von Straftaten in der Cybersicherheit verantwortlich.

BfV: Das Bundesamt für Verfassungsschutz untersucht die Technik der neusten Cyberangriffe. Außerdem versucht das BfV Angriffe zum Ursprung zurückzuverfolgen.

BBK: Der Bevölkerungsschutz und die Katastrophenhilfe sichert „Kritische Infrastrukturen“ und wehrt Angriffe gegen diese ab.

Fazit: Gute Ansätze aber noch nicht am Ziel

Die Bekämpfung von Cyberkriminalität ist ein stetiger, permanenter Prozess. Sowohl im nationalen als auch im internationalen Bereich müssen sich die Schutzmaßnamen stetig weiterentwickeln.

Deutschland ist dabei die ersten Schritte zu machen, aber noch weit entfernt von einer sicheren, digitalen staatlichen und wirtschaftlichen Infrastruktur. Trotz entsprechender Maßnahmen hat sich das Schadensvolumen von 44,7 Mrd. (2015) auf 109,7 Mrd. Euro (2017) mehr als verdoppelt.

Durch einen Cyberangriff auf Ihr Unternehmen kann es zu schwerwiegenden Folgen kommen. Hohe Lösegeldzahlungen, Spionage von Unternehmensgeheimnissen und eine Rufschädigung können die Folge sein.
Mit der Sicherheit Ihrer Daten steht und fällt der Erfolg Ihres Unternehmens. Um die Daten ihres Unternehmens zu schützen sollten sie auf externe Lösungen zurückgreifen und Unternehmen damit beauftragen Ihre Daten vor den Gefahren des Webs zu schützen.

Vielleicht ebenfalls für Sie von Interesse:

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Mit den Hornetsecurity Services können die Forderungen des Bundesamtes für Sicherheit und Informationstechnik (BSI) effektiv und ohne großen Aufwand umgesetzt werden, damit Ihr Unternehmen vor Spam, Viren und Malware sowie gezielten, personalisierten Attacken geschützt ist.

Das BSI hat am 11.07.2018 die zweite Version der Handlungsempfehlungen zur E-Mail-Sicherheit für Internet-Service-Provider veröffentlicht. Laut der Veröffentlichung des BSI sind E-Mails auch heute noch das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Dadurch werden E-Mails häufig aber auch zur Verbreitung von Schadsoftware verwendet. Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat in einer Studie festgestellt, dass jedes zweite kleine oder mittelständische Unternehmen bereits mit Problemen durch Virenangriffe zu kämpfen hatte. Das zeigt, dass es im Bereich der Abwehr von Cyberkriminalität noch immer viel Verbesserungspotenzial für Unternehmen gibt. Oftmals übersteigen die Kosten für den entstandenen Schaden die Investition in den Schutz um ein Vielfaches.

Um der Cyberkriminalität entgegenzuwirken, hat das BSI zahlreiche Handlungsempfehlungen für Internet-Service-Provider veröffentlicht. Von diesen Maßnahmen müssen nicht alle strikt umgesetzt, sondern an die jeweilige Situation und das Unternehmen angepasst werden. Ziel aller eingesetzten Maßnahmen ist jedoch immer, die E-Mail-Sicherheit von ein- und ausgehenden E-Mails zu gewährleisten und einen wirksamen Spam- und Virenschutz zu aktivieren und aufrechtzuerhalten. Hornetsecurity setzt das vom BSI geforderte Prinzip des „Baukastens“ bereits um und hat verschiedene Schutzmechanismen entwickelt, die sich individuell miteinander kombinieren lassen. Mit der Kombination der Mechanismen gewährleistet Hornetsecurity einen hoch wirksamen Schutz gegen Cyberkriminalität.

Besonderer Schutz mit Advanced Threat Protection (ATP) von Hornetsecurity

Angriffe auf Unternehmen durch E-Mails werden raffinierter und finden Lücken, die durch eine einfache Spam- und Virenfilterung nicht abgedeckt werden. Der bestehende Spam- und Virenfilter von Hornetsecurity filtert E-Mails mit einem mehrstufigen Filtersystem und erkennt 99,9 Prozent aller eintreffenden Spammails und 99,99 Prozent der eintreffenden Viren. Wenn aber eine gezielte Attacke auf einen Mitarbeiter durchgeführt wird oder verschiedene Angriffsmethoden miteinander kombiniert werden, greift der Spam- und Virenfilter nicht mehr und es müssen zusätzliche Schutzmaßnahmen ergriffen werden. Der finanzielle Schaden für Unternehmen durch solche Targeted oder Blended Attacks kann im schlimmsten Fall immens sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Mit ATP hat Hornetsecurity einen Service entwickelt, der speziell vor diesen Angriffen schützt und sich nahtlos in den bestehenden Spam- und Virenfilter integriert. So werden auch Dateien in Anhängen und nachgeladene Inhalte in der Sandbox überprüft. Zum Schutz vor Blended Attacks werden die Mechanismen URL Rewriting und URL Scanning verwendet. ATP übererfüllt damit sogar bei weitem die Forderung des BSI, E-Mails mit einem Virenschutzprogramm zu scannen.

Ergänzend empfiehlt das BSI, dass Kunden über Maßnahmen informiert werden müssen, die mit ihrer E-Mail durchgeführt worden sind. ATP informiert Kunden in Echtzeit über eingegangene Bedrohungen, sodass sie sofort Gegenmaßnahmen ergreifen können. Die Ex-Post-Alarmierung geht noch einen Schritt weiter und informiert das IT-Sicherheitsteam des Unternehmens, wenn eine zugestellte Nachricht nachträglich als schädlich eingestuft wurde.

E-Mail-Authentifizierung mit SPF, DKIM und DMARC

Das BSI gibt zudem Hinweise zur E-Mail-Authentifizierung und empfiehlt die Umsetzung von SPF, DKIM und DMARC. Zusätzlich zum schon seit langem implementierten SPF hat Hornetsecurity nun auch DKIM und DMARC eingeführt, um die E-Mail-Authentifizierung zu verbessern. Mit der Kombination aller drei Verfahren kann Hornetsecurity auch diese Forderung des BSI umsetzen.

Mit den Services von Hornetsecurity werden alle Forderungen des BSI erfüllt

Angriffe durch E-Mails werden komplexer, doch die kombinierten Services von Hornetsecurity bieten die Möglichkeit, die Forderungen des BSI sehr wirksam und einfach umzusetzen und Unternehmen vor hohem finanziellen Schaden oder dem Diebstahl von geheimen, unternehmensinternen Daten zu bewahren.

Mit mehrfachem Schutz auf Nummer sicher

Mit mehrfachem Schutz auf Nummer sicher

Antiviren-Lösungen alleine reichen nicht – sind aber dennoch sinnvoll

Die Welt ist komplexer geworden – nicht nur in der Politik und in der Wirtschaft, sondern auch im Bereich der IT-Sicherheit. Mehrstufige Verteidigungsmaßnahmen sind heute für Unternehmen Pflicht, wenn sie ihre IT-Infrastruktur effektiv schützen wollen, denn auch Cyberbedrohungen sind wesentlich vielseitiger und professioneller geworden. „Einfache“ Lösungen alleine reichen nicht mehr aus, haben dennoch noch ihre Daseinsberechtigung.

Bis vor einigen Jahren ließ sich der Schutz der eigenen IT-Systeme noch wesentlich einfacher organisieren. Und auch heute noch gibt es Unternehmen, die auf wenige etablierte Abwehrmaßnahmen setzen. Zusammen mit einer Firewall und einem Spamfilter sind insbesondere klassische AV-Lösungen immer noch der Standard, um sich zum Beispiel vor Eindringlingen zu schützen. Einer der Hauptgründe: Diese Art des Schutzes ist als bewährter Mechanismus gegen Malware allgemein akzeptiert. Antiviren-Produkte sind stark automatisiert und bedürfen keiner aufwändigen Aufmerksamkeit durch IT-Administratoren oder Security-Spezialisten. Dies spart Geld, Zeit und Aufwand.

Moderne Schadsoftware überlistet klassische AV-Produkte

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Auf der anderen Seite schwelt seit längerem die Diskussion darüber, ob Antiviren-Lösungen überhaupt noch effektiv gegen Malware wirken oder vielleicht sogar mehr schaden als nutzen und deshalb abgeschafft gehören.

Fakt ist, dass klassische Produkte zur Abwehr von Schadsoftware schon längst keinen hinreichenden Schutz mehr bieten. Kein klassischer AV-Scanner erkennt alle Malware-Exemplare, viele Exemplare werden gar nicht, von nur wenigen AV-Scannern oder erst nach vielen Wochen oder gar Monaten erkannt. Dabei sind Stärken und Schwächen in der Malwareerkennung bei den verschiedenen AV-Anbietern breit verteilt.

Hinzu kommt, dass neue Arten von Cyberattacken den klassischen AV-Scannern das Leben immer schwerer machen: Polymorphe Viren z.B. in Form von Ransomware entziehen sich in vielfacher, jedoch immer leicht abgewandelter Form den signaturbasierten Erkennungsmechanismen. Keine Chance haben klassische AV-Scanner gegen dateilose Angriffe wie CEO-Fraud, da diese keine verdächtigen Objekte zur Untersuchung enthalten.

Ebenso problematisch bei der Gefahrenabwehr sind Links in Dokumenten, die zu Downloads von Malware führen können. Unternehmen, die allein auf den Einsatz klassischer Sicherheitslösungen setzen, wiegen sich deshalb in falscher Sicherheit. Notwendig und sinnvoll ist der Einsatz klassischer AV-Scanner dennoch.

Viele Abwehrmaßnahmen vermiesen dem Angreifer seinen Erfolg

Moderne IT-Security-Lösungen und Suites sind nämlich nach dem Prinzip des mehrfachen Schutzes mit multiplen Verteidigungsmethoden aufgebaut. Es gibt gute Gründe für mehrstufigen Schutz. Erledigen erste Schutzmaßnahmen einen Teil der Aufgabe auf relativ einfache Weise, sind die leistungsstarken und aufwändigeren Filter dahinter nicht mehr so stark belastet und erbringen eine bessere Leistung.

Nachfolgende Sicherheitsstufen auf Basis heuristischer oder verhaltensbasierter Filtersysteme verbessern die Erkennungsleistung erheblich und erhöhen dadurch die Chance, von Schäden durch Malware verschont zu bleiben. Hierzu gehören Dienste, die versteckte Links in Mails oder Anhängen entdecken, die in einer Sandbox das Verhalten der Malware analysieren oder die verdächtige E-Mail-Anhänge über einen bestimmten Zeitraum hinweg zurückhalten, um anschließend mit aktualisierten Signaturen diese Attachments erneut zu überprüfen.

Viele Unternehmen haben das mittlerweile erkannt und setzen auf eine mehrteilige Verteidigungsstrategie mit mehreren Abwehrlinien. So minimieren sie das Risiko, eine böse Überraschung zu erleben und Opfer eines Cyberangriffs zu werden.

Weiterführende Informationen:

  1. Spam- und Virenfilter
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
Malwareanalyse und Verteidigung

Malwareanalyse und Verteidigung

Dritter Teil des Mehrteilers “Verteidigung gegen Malware”

Die Arbeitsplätze unserer Malware Analysten unterscheiden sich nicht von anderen in den Büroräumen von Hornetsecurity, auch wenn vom Security Lab als „Labor“ gesprochen wird. Erlenmeyerkolben, Reagenzgläser und Bunsenbrenner sind jedenfalls keine zu finden, sondern ganz normale Computer. Die Arbeit geht vielmehr virtuell vonstatten, zum Beispiel in Sandboxes oder durch die Analyse des Datenverkehres. Nichtsdestotrotz ist die Bedeutung der Malware Analysten nicht zu unterschätzen, sorgt sie doch unter anderem dafür, dass die Abwehrsysteme von Hornetsecurity ständig so aktuell wie möglich sind. – nur so lässt sich der hohe Qualitätsstandard halten.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber wie ist das Vorgehen bei der Analyse von Schadsoftware? In der Regel liegt ein sehr großer, andauernder Strom an Daten vor, den es zu analysieren gibt. Diesen Rohdaten die wertvollen Informationen zu entziehen, ist die Hauptaufgabe – sie werden aufbereitet, „intelligent“ gemacht. Hierzu verwenden die Analysten verschiedene Tools und Programme, um bestimmte Fragestellungen beantworten: Welches sind die Ziele der Malware? Welche Merkmale sind typisch für die untersuchte Schadsoftware? Gibt es Hinweise auf den oder die Angreifer? Aus den gewonnenen Erkenntnissen lassen sich im Idealfall Handlungen ableiten, zum Beispiel das Schreiben von neuen Filterregeln oder das Erstellen von Algorithmen.

Zwei verschiedene Arten der Analyse

Zwei Arten, Malware zu analysieren, sollen hier ein wenig näher vorgestellt werden. Bei der statischen Analyse erfolgt die reine Betrachtung des Codes selbst ohne Ausführen der Malware, während bei der dynamischen Analyse das Verhalten des Schadcodes in sicherer Umgebung verfolgt wird.

In der statischen Analyse zerlegen die Analysten die Malware bis ins kleinste Detail, um Rückschlüsse aus dem Code selbst ziehen zu können. Hierzu werden zum Beispiel signifikante Strings extrahiert oder Shell-Skripte gestartet und mit Disassemblern weitere Ergebnisse generiert. Hier finden sich Hinweise auf die Aktivitäten der Schadsoftware und welche Merkmale sie zeigt – sogenannte Indicators of Compromise (IoC). Auf Basis der gewonnenen Erkenntnisse lassen sich die einzelnen Filtersysteme auf den neuesten Stand bringen, um weitere Angriffe durch diese und diesen ähnelnde Malware möglichst schnell zu unterbinden.

Eine Möglichkeit bei der dynamischen Analyse ist, den Schadcode in der sicheren Umgebung einer Sandbox ihrer Aufgabe nachgehen zu lassen. Diese Methode ist gut zu automatisieren, um daraus bestimmte Ergebnisse zu gewinnen. Auf diesen wiederum lassen sich anschließend die Filtersysteme aktualisieren. Verändert der Code bestimmte Dateien, nimmt er Änderungen in der Registry vor oder hat er generell Systemeinstellung etwa an DNS-Servern angepasst? Mit wem nimmt die Schadsoftware Kontakt auf? Diese und andere Fragen lassen sich so beantworten.

Verschiedenste Nutzungsmöglichkeiten

Die augenscheinlichste Anwendung der aus der Malwareanalyse gewonnenen Daten liegt für IT-Security-Unternehmen darin, ihre Abwehrmethoden zu verbessern und somit auch ihre Kunden besser vor Angriffen zu schützen. Hierzu extrahieren die Analysten bestimmte Binärmuster und erstellen daraus sogenannte Yara-Regeln, mit denen sich Malware-Samples finden, kategorisieren und gruppieren lassen. Verhaltenssignaturen, die in der Sandbox angewendet werden, können bestimmte Verhaltensmuster von Schadcode erkennen und diese kategorisieren.

Ein Beispiel: In der Sandbox wird ein sich im Dateianhang befindliches Office-Dokument geöffnet. Dort erkennen die Verhaltenssignaturen, dass das zu untersuchende Dokument damit beginnt, Informationen über Benutzeraccounts zu sammeln und diese zu verschicken. Findet diese Analyse in einer cloudbasierten Umgebung statt, ist es anschließend möglich, die auffälligen E-Mails abzufangen und damit die Angriffe komplett zu blockieren. All diese und etliche weitere Abwehrmaßnahmen sollen dabei helfen, einen Angriff an möglichst früher Stelle abfangen und unterbinden zu können, damit die entstehenden Schäden durch Malware so gering wie möglich sind oder besser noch gar nicht erst auftreten.

Viele durch Malwareanalyse gewonnenen Rohdaten und daraus abgeleiteten Erkenntnisse sind zudem für die allgemeine Prävention nützlich. Forschungsvorhaben können davon profitieren und ihre wissenschaftlich fundierten Ergebnisse wiederum der Allgemeinheit zur Verfügung stellen. Daneben dient die Veröffentlichung von Malwareanalysen auch der Aufklärung der Allgemeinheit. Die Wissenserweiterung über Herangehensweisen von Cyberattacken und Malwareangriffen helfen dabei, deren Erfolgsraten einzugrenzen.