Schlagwort-Archiv DataBreach

Daniel Döring VonDaniel Döring

Daniel’s Data Protection Monat – Juni 2019

Daniel Döring – Technical Director Security & Strategic Alliances – Matrix42 AG / EgoSecure GmbH
Daniel Döring – Technical Director Security & Strategic Alliances – Matrix42 AG / EgoSecure GmbH

Themen im Juni 2019:

  • Im Juni meist diskutiert: MSSP, SECaaS & Co.
  • Heise fängt sich Emotet ein – Schaden von weit über 50.000 EUR
  • IT Security muss auch vor Innentäter schützen
  • Unterschätztes Risiko: Mobile Datenträger
  • Silex nutzt die gleiche Schwachstelle wie Stuxnet

Im Juni meist diskutiert: MSSP, SECaaS & Co.

Diesen Monat war jede Woche das Thema MSSP und SECaaS in meinen Gesprächen. Angefangen auf dem Kingston Cognate Influencer Huddle ging die Diskussion nach der Frage “What concerns companies the most?” sehr schnell in Richtung SOC. Ebenfalls wurde in einem weltweit führenden IT Marktforschungs- und Beratungsunternehmen positiv gesehen, dass die Matrix42 sich ebenfalls in Richtung MSP / MSSP Unterstützung ausrichtet. Auf dem “Managed Security Services Forum” in München, sowie auch bei meinem Besuch eines weltweit agierenden CyberSecurity “Experts as a Service” Unternehmen muss ich nicht erwähnen, um was es ging 😉

Warum MSSP / SECaaS?

Die IT Infrastrukturen werden immer komplexer, da die Anzahl der digitalisierten Daten, sowie Art der Gerätetypen rasant steigt. Früher war lediglich die Absicherung von Netzwerken, Server und klassischen Computern des Unternehmens erforderlich. Heute sind die Gefahren durch Smartphones, Tablet-PCs, Notebooks, Home-Office Nutzung, IoT, etc. deutlich höher. Aus diesem Grund ist es wichtig, dass IT-Security Hersteller ihre Lösungen mehr und mehr automatisieren und vernetzen. Dennoch ist es aber wichtig, dass neben künstlicher Intelligenz auch weiterhin viele Maßnahmen durch den Menschen unterstützt werden. Denn ein Security Vorfall muss sofort erkannt, forensisch analysiert, bewertet, gemeldet und gemildert werden.

Hierzu fehlt es jedoch an Fachkräften. Nicht jedes Unternehmen kann sich zum Beispiel ein eigenes Security Operation Center (SOC) Team leisten. Kompetenz sollte am Besten gebündelt werden. Und hier kommen die Managed Security Service Provider (MSSP) ins Spiel.

Managed Security Service Provider bieten je nach Service Level eine starke Unterstützung im Kampf gegen zum Beispiel Hacker Angriffe, Datenschutz Verletzungen und Malware Infektionen. Da die meisten Services auf von außen erreichbaren Maßnahmen der Unternehmen zurückgreifen, ist es empfehlenswert, wenn Lösungen eingesetzt werden, welche unter anderem Mandanten- und Managed-Service-fähig sind. Hier bieten Hersteller zum Beispiel auch eine gute Ergänzung durch “Security as a Service” (SECaaS) bzw. “Software as a Service” (SaaS) Modellen, auf welche der MSSP bzw. MSP seine Mehrwerte platziert. Allerdings ist zu erwähnen, dass S(EC)aaS und M(S)SPs stärker auf deren Sicherheit geprüft werden müssen. Denn wird ein solcher Anbieter gehackt oder durch Malware befallen, ist der Schaden sehr schnell nicht nur in einem Unternehmen vorhanden. Ein Anbieter muss der beste Kunde von sich selbst sein!

Heise fängt sich Emotet ein – Schaden von weit über 50.000 EUR

Auch die IT-Experten der Heise Medien GmbH & Co. KG sind nicht mehr vor Malware sicher. Der Trojaner Emotet* hat bei heise Schäden von weit über 50.000 Euro verursacht. Auch das Unternehmensimage leidet unter solchen Vorfällen.

*Emotet gilt laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine der größten Bedrohungen durch Schadsoftware weltweit!

Wie kam es zu dem Malware Vorfall? Ein Mitarbeiter erhielt eine E-Mail eines anscheinenden Geschäftspartners. Nach dem Öffnen der angehängten Microsoft Word Datei wurde eine gefälschte Fehlermeldung angezeigt. Der Mitarbeiter kam der Aufforderung nach „Enable Editing“ anzuklicken – und das Unheil nahm seinen Lauf.

Nachdem erste Emotet Alerts seitens IT Abteilung bearbeitet wurden, war ersichtlich, dass sehr viele Firewall Logs auf bekannte Emotet-Server verwiesen. Einer der Administratoren entdeckte, dass es bereits höchst verdächtige Zugriffe auf den Domain Controller des Active Directory gab. Die Administratoren versuchten, die Kommunikation mit der Emotet-Kommandoinfrastruktur zu unterbinden. Dieses “Hase-und-Igel-Rennen” war nicht zu gewinnen, da ständig neue Emotet-Verbindungen hinzu kamen.Zu diesem Zeitpunkt wurde entschieden, dass die Internet-Verbindung für alle betroffenen Netze komplett gekappt werden.

IT Security muss auch vor Innentäter schützen

Bis zu 100.000 Fotos von USA-Reisenden und Autokennzeichen sind nach einem Hack eines Dienstleisters der US-Grenzbehörde CBP (Customs and Border Protection) von Unbekannten kopiert worden.

Seit Jahren zeigen die IT Security Experten der EgoSecure GmbH (ein Matrix42 -Unternehmen), dass Hacker nicht nur außerhalb des Netzwerks, sondern auch innerhalb von Unternehmen und Behörden angreifen. Wenn der Schutz sensibler Daten nur nach extern hin (z.B. durch Antivirus und Firewall) erfolgt, ist er nicht ausreichend. Eine der einfachsten Maßnahmen ist die Verschlüsselung und Überwachung. Dies wird auch im Rahmen der EU-GDPR empfohlen.

Unterschätztes Risiko: Mobile Datenträger!

Welche Gefahren bestehen im Umgang mit mobilen Datenträger bezüglich Compliance- und Cybersecurity-Risiken? Sind die Datenträger nicht ausreichend geschützt, kann ein Verlust einer einzigen sensiblen Information auf einem verlorenen oder gestohlenen Datenträger zu immensen Image-Schäden, Verlust des Wettbewerbsvorsprungs und potentiellen Geldstrafen (Stichwort DSGVO) führen. Folgende 5 Maßnahmen sind daher zwingend erforderlich:

1.     Beschaffung sicherer Hardware: „Bring your own devices“ birgt auch bei USB Geräten ein großes Sicherheitsrisiko. Nicht nur, dass potentiell ungewünschte Daten wie Raubkopien, Malware und sicherheitskritische Anwendungen in Unternehmen gelangen können, sondern auch Hardware zuvor manipuliert wurde. Heutzutage gibt es sehr viele Geräte, welche aussehen wie ein USB Stick, Ladekabel, Netzwerkadapter – jedoch als Bad-USB agieren und IT Systeme mittels emulierter Tastatureingabe von Scripten und Schadcode oder „Man-In-The-Middle“ Angriffe attackieren. Hier sind Antiviren und Firewall Lösungen meist machtlos. Setzen Sie daher auf USB Geräte, welche Ihren Mitarbeitern ausreichende Sicherheitsmerkmale aufzeigen.

2.     Standardisierung von USB Geräten: Wenn Sie ein Gebäude betreten, möchten Sie nicht jedes Mal prüfen müssen, ob dies von einem Einsturz gefährdet ist. Ihre Mitarbeiter müssen das gleiche auch im Umgang mit USB Geräten haben. Somit müssen IT Geräte im Unternehmen standardisiert werden, von welchen auszugehen ist, dass sie beste Sicherheit gewähren.

3.     Kontrollierter Umgang mit Datenträgern: Auch wenn Sie Ihren Mitarbeitern einen Datenträger der Firma zur Verfügung stellen, besteht das Risiko, dass fremde Datenträger an Ihren IT Systemen angesteckt werden können. Hierbei ist es wichtig, dass Sie sicherstellen können, dass der Zugriff auf fremde Datenträger zum Beispiel nur lesend, nur auf bestimmte Datentypen oder -inhalten, beziehungsweise gar nicht gewährt wird. Beachten Sie bei der Auswahl von Lösungen auf den vom Bundesamt für Sicherheit in der Informationstechnik definierten „Mindeststandard des BSI für Schnittstellenkontrollen“ nach § 8 Absatz 1 Satz 1 BSIG.

4.     Protokollierung des Datentransfers: Die Artikel 30, 33 und 34 der EU-DSGVO verpflichtet zu verschiedenen Protokollierungsmaßnahmen im Zuge von Datenübertragungen. Ebenfalls beschreibt der Absatz SSK.10. „Audidaten“ der „Mindeststandard des BSI für Schnittstellenkontrollen“ erforderliche Protokollierungsmaßnahmen.

Die Protokollierung muss sich von berechtigten Personen abschalten, pseudonymisieren und feingranular konfigurieren lassen. Die Schnittstellenkontrolle muss entweder die Protokollierungsfunktionen des Betriebssystems nutzen oder die Protokolle strukturiert an einen zentralisierten Protokollierungsspeicher zur Auswertung übertragen können. Eine darüberhinausgehende Protokollierung muss per Konfiguration festlegbar sein.

5.     Angriffe durch Datenverschlüsselung verhindern: Zum Schutz der Daten auf dem Transportweg ist die Verschlüsselung diese unumgänglich. Jeder Verlust von nicht verschlüsselten Daten sorgt für Image-Schäden, Know-How Verlust und ggf. Geldstrafen bei Personenbezogenen Daten. Die Verschlüsselung ist somit der wichtigste Bestandteil im Umgang mit digitalisierten Informationen.

Silex nutzt die gleiche Schwachstelle wie Stuxnet

Was wurde 2010 aus Stuxnet gelernt? Anscheinend nichts… Sonst wäre nicht schon wieder eine Malware mit Verwendung von Standard Passwörtern erfolgreich!

Ein Sicherheitsforscher hat eine Malware namens Silex entdeckt, die derzeit schlecht gesicherte Geräte im Internet der Dinge (Internet of Things, IoT) angreift. Sie versucht, sich via Telnet und unter Verwendung bekannter Default-Login-Daten Zugriff auf die Geräte zu verschaffen, um diese anschließend schrittweise unbrauchbar zu machen. Potenzielle Angrifssziele für Silex sollen alle Geräte mit UNIX-artigem Betriebssystem sein. Der angerichtete Schaden lässt sich nur durch eine Neuinstallation der Firmware beheben.

Was lernen wir aus Silex? Nutzt sichere Passwörter und IoT-fähige Malware Protection!


Daniel Döring VonDaniel Döring

Daniel’s Data Protection Monat – Mai 2019

Daniel’s Themen im Mai 2019:

  • Happy Birthday GDPR – Die DSGVO ist ein Jahr alt!
  • IT-Security geht über den Tellerrand hinaus
  • Österreichischer Baukonzern Porr von Cyberangriff getroffen
  • Video-Tipp: Angriffsszenario mit USB Ladekabel
  • Matrix-Ransomware MegaCortex wird durch Matrix42 blockiert

Happy Birthday GDPR – die DSGVO ist ein Jahr alt!

Data Breach, Data Breach – wer hat einen Data Breach? Ich glaube, dass die Veröffentlichung von Datenverlusten seit einem Jahr das spürbarste der EU Datenschutzgrundverordnung (kurz DSGVO; engl. GDPR) ist. Finde ich teilweise sehr gut. Warum nur teilweise?

Das Thema Datenschutz und deren Auswirkungen ist nun (dank der DSGVO) in vielen Köpfen präsenter – schon einmal gut… Leider ist es aber doch nicht so präsent, dass viele Unternehmen und Behörden immer noch nicht ausreichende technische und organisatorische Maßnahmen (kurz TOM) umgesetzt haben. Es gibt eher das Gefühl, dass es manche Unternehmen darauf anlegen lieber zu warten als proaktiv zu handeln – wird schon nichts passieren… Das muss sich ändern! Wir müssen also weiterhin starke Aufklärungsarbeit in Sachen Datenschutz / Datensicherheit betreiben.

Lasst es uns anpacken: Verschlüsselt Eure Daten! Sensibilisiert Eure Mitarbeiter! Führt Zugriffs- und Zugangskontrollen, sowie Protokollierungen ein! Sorgt für ausreichend gepatchte IT-Systeme! Sichert Eure Daten! Verhindert Malware-Befall!

Ihr denkt jetzt, dass diese Themen zu aufwändig und teuer sind? NEIN, sind sie nicht. Falls es Bedenken gibt, fragt nach. Es muss eines klar sein: Wenn nur eine falsche Information in falsche Hände gelangt oder manipuliert wird, kann es das Unternehmen i.S. Firmen-Image, Produktivität, Finanzen, Wettbewerbsvorteile, etc. stark schädigen. Also schützt Euer teuerstes Gut – Eure Daten!

IT-Security geht über

den Tellerrand hinaus

IT-Security ist ein MUSS in Unternehmen. Wenn ein Unternehmen nicht ausreichend geschützt ist, ist es in der heutigen Digitalen Arbeitswelt grob fahrlässig. In vielen Schutzkonzepten besteht daher, dass das gesamte Unternehmensnetzwerk sicher werden muss. Hier gibt es aber nicht nur seit Bring Your Own Device (BYOD) das Problem, dass es nicht mehr ausreicht, dass “nur” das eigene Unternehmensnetzwerk gesichert wird. Dank der DSGVO haben wir nun den Vorteil, dass man auch seine Geschäftspartner nach der Auftragsdatenverarbeitung fragen kann – und somit nach technisch / organisatorischen Maßnahmen im Zuge des Datenschutzes.

Aber haben auch eigene Mitarbeiter an privaten Geräten, Freelancer oder kleine Unternehmen auch ausreichende Schutzmaßnahmen? Wie sieht es im Unternehmen mit “Stand-Alone-Systemen” aus? Gerade im Umgang der Mitnahme und Weiterverarbeitung von Daten muss das Schutzkonzept auch diese schwächsten Glieder betrachten. Somit ist es wichtig, zu erruieren, wohin Daten fließen können und ob sie dort auch sicher sind. Z.B. durch Malware-Protection (z.B. Antivirus + Application Control), Verschlüsselung und Co.. Wenn man in Suchmaschinen nach dem Wort Verschlüsselung sucht, findet man für “Stand-Alone-Systeme” oder Privatanwender kaum Lösungen. Schützen Sie Ihre Daten des Unternehmens auch an diesen Systemen! Wenn Sie Fragen haben, gerne fragen – denn Fragen kostet nichts! 😉

Österreichischer Baukonzern Porr von Cyberangriff getroffen

Porr hatte das Glück, dass die Unternehmensdaten nicht von der Malware angegriffen wurden. Dennoch sind Schäden entstanden – nicht nur technologisch, sondern auch im Hinblick auf den Imageverlust des Unternehmens. Dieses Beispiel zeigt, wie verletzlich Unternehmen sind.

Schützen Sie sich gezielter vor Malware-Angriffen. Z.B. durch Post-Infektionsschutz – dies verhindert den Ausbruch, wenn Pre-Infection-Maßnahmen wie NextGenAV und AV das Risiko nicht erkennen und beseitigen konnten.

Video-Tipp: Angriffsszenario mit USB Ladekabel

Auf den Matrix42 Experience Days habe ich in meiner Live Hacking Session gezeigt, wie einfach über ein vermeindliches USB Ladekabel ein IT System mit Malware infiziert werden kann. Das dazugehörige Video befindet sich hier: https://youtu.be/I0NR42XOAgc

Matrix-Ransomware MegaCortex wird durch Matrix42 blockiert

Die Anfang Mai erschienene Ransomware namens MegaCortex richtet sich auf Unternehmensnetzwerke und deren IT-Systemen aus. Sobald die Malware im Netzwerk ist, infizieren die Angreifer das gesamte Netzwerk, indem sie die Ransomware über den Windows Domain Controller verteilen. Wie das Netzwerk der Unternehmen infiltriert wird und welcher Verschlüsselungsalgorithmus verwendet wird, ist derzeit nicht bekannt. Interessant ist, dass in den durch MegaCortex infizierten Netzwerken ebenfalls die Malware Varianten von Emotet* oder Qakbot zu finden waren.

*Emotet gilt laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine der größten Bedrohungen durch Schadsoftware weltweit!

Vorgehen der Infizierung: Auf dem Domänencontroller der betroffenen Netzwerke wird ein Cobolt Strike ausgeführt, um eine Reverse Shell zurück zum Host eines Angreifers zu erstellen. Mit dieser Shell erhalten die Angreifer aus der Ferne Zugriff auf den Domänencontroller und konfigurieren ihn so, dass er eine Kopie von PsExec, der wichtigsten ausführbaren Malware-Datei und eine Batch-Datei an alle Computer im Netzwerk verteilt. Anschließend wird die Batchdatei über PsExec remote ausgeführt. Anschließend werden alle Prozesse und Dienste gestoppt, welche der Malware oder Dateien am verschlüsseln hintern könnte.

Durch die Ransomware verschlüsselte Dateien erhalten eine Erweiterung der Dateiendung. Zum Schluss erstellt die Ransomware eine Lösegeldaufforderung mit dem Namen !!!!_READ_ME_!!!.txt, welche Informationen darüber enthält, was passiert ist, und E-Mail-Adressen, mit denen die Angreifer kontaktiert werden können. Die E-Mail-Adressen lauten derzeit anderssperry6654818@mail.com und shawhart1542925@mail.com. Hier wird mit den E-Mail-Adressen und Zitaten bezug auf den SciFi-Klassiger Matrix genommen.

Die meisten Angriffe durch MegaCortex sind derzeit in den USA, Kanada, Deutschland Frankreich, Italien, Niederlande und Irland.

Matrix-Ransomware MegaCortex – Matrix42 ist die Antwort!
Matrix42 sichert Ihre Endgeräte mit einem Agenten ab. Die Software unterstützt bei der Abwehr von Ransomware und unbekannter Angriffe mithilfe eines mehrstufigen Abwehrsystems. Die Lösung mit hochentwickelten maschinellen Lerntechnologien und Verhaltensanalysen maximiert den Schutz und minimiert Falschmeldungen (False Positives). Das z.B. hilft Ihnen Zero-Day-Angriffe zu blockieren, die speicherbasierte Sicherheitslücken in gängigen Anwendungen ausnutzen.

Wie man auch wieder bei MegaCortex feststellen muss, ist das Eindringen von Schadsoftware nicht immer zu verhindern. Die Software sichert die Ausgangspunkte gegen unautorisierten Datentransfer. Die Matrix42 Automated Endpoint Security hält die Angreife wie MegaCortex auf, bevor Daten verschlüsselt werden können. Es arbeitet auf der Ebene des Betriebssystems (Kerneltreiber) und ist damit die einzige Universallösung. Die Lösung warnt Sie, nachdem es eine schädliche Out-bound-Kommunikation, Datenmanipulation oder unautorisierte Verschlüsselung unterbunden hat. Das verschafft Ihrer IT genügend Zeit, die Eingangstore auf mögliche Sicherheitslücken zu analysieren und Gegenstrategien zu entwickeln.

Translate »