November 2020 - DoubleClue

Mimikatz – Süßer Name, gefährliches Offensive Security Tool

27. November 2020/in Identity and access management, IT Security, Schadsoftware/von Michaela Senft

Das Windows-Sicherheitstool Mimikatz trägt zwar einen süßen Namen – jedoch auch ein großes Schadpotenzial in sich. Es wurde ursprünglich dazu entwickelt, die Sicherheitslücken von Windows-Systemen zu demonstrieren, da sich eine Lücke im Authentifizierungsprozess finden lässt. Schnell hat es sich jedoch von einem Tool für White-Hat-Hacker zu einem für Black-Hat-Hacker entwickelt. Dennoch nutzen auch heute noch Admins das Tool, um Sicherheitslücken im eigenen System zu erkennen und dann auch zu schließen. Daher ist Mimikatz heute eines der bekanntesten Offensive Security Tools (OST), das als open-source frei verfügbar ist.

Wie funktioniert Mimikatz?

Mithilfe von Mimikatz ist es möglich, Passwörter, PINS und Kerberos-Tickets von Windows-Systemen auszulesen, weshalb es oft auch von Malware-Angreifern genutzt wird. Hierbei nutzt Mimikatz die Windows Single-Sign-On-Funktion aus, die über das sog. „WDigest“-Feature verfügt. Mit dessen Hilfe werden verschlüsselte Passwörter sowie deren Key in den Speicher geladen. Insbesondere Unternehmen oder andere Organisationen nutzten dieses Feature, um Nutzergruppen zu authentifizieren. Zwar ist WDigest in Windows 10 standardmäßig deaktiviert, doch jeder mit Adminrechten kann es aktivieren. Und somit die Passwörter der Nutzergruppen mithilfe von Mimikatz auslesen.

So wird die Software zum leistungsstarken Tool für Hacker

Um Mimikatz erfolgreich in ein System einzuschleusen wird Root Access benötigt. Ist die Software einmal im System gibt es verschiedene Möglichkeiten, wie Mimikatz arbeiten kann:

Pass-the-hash – Beim Anmelden speicherte Windows in früheren Versionen Passwörter in einem sog. NTLM-Hash. Angreifer können daher Mimikatz nutzen, um diese exakte Hash-Zeichenfolge zu kopieren und an dem Zielcomputer zum Einloggen zu verwenden. Das Passwort muss hierfür nicht einmal bekannt sein, da diese Zeichenfolge als Authentifizierung ausreicht.

Pass-the-Ticket – Neuere Windows-Versionen verwenden keinen NTLM-Hash zur Authentifizierung mehr, sondern sog. Kerberos-Tickets. Dieses kann Mimikatz mittlerweile ebenfalls auslesen und an einen anderen Computer weitergeben, sodass man sich dort als dieser Nutzer anmelden kann.

Over-Pass the Hash (Pass-the-Key) – Mithilfe des auf diese Weise gewonnenen Schlüssels können sich Hacker als Benutzer ausgeben, die über einen Domainen-Controller abrufbar sind.

Kerberos Golden Ticket – Mit einem goldenen Ticket erhalten Sie Domänenadministrationsrechte für jeden Computer im Netzwerk. Perfide: Goldene Tickets laufen nicht ab.

Kerberos Silver Ticket – Kerberos übergibt einem Benutzer ein TGS-Ticket, das für die Anmeldung bei allen Diensten im Netzwerk verwendet wird. Dies ist möglich, da Windows TGS-Tickets nicht bei jeder Anmeldung überprüft.

Pass-the-Cache – Im Allgemeinen handelt es sich hierbei um dieselbe Taktik wie bei einem Pass-the-Ticket-Angriff. Jedoch wird hier kein Windows-System kompromittiert, sondern die gespeicherten und eingetragenen Anmeldedaten auf einem Mac- UNIX- oder Linux-System verwendet.

So schützen Sie Ihr System

Im Idealfall sollte Mimikatz gar nicht erst auf Ihr System zugreifen können. Voraussetzungen für ein zunächst sicheres Windows-System ist ein Upgrade auf Windows 10 (oder zumindest 8.1). Sollte dies nicht möglich sein, ist es zumindest ratsam, WDigest manuell zu deaktivieren, wobei dies wohl nur eine kleine Hürde für einen kundigen Angreifer sein sollte. Unabhängig von der verwendeten Windows-Version ist eine Konfiguration der Local Security Authority (LSA) absolut notwendig.

Leider ist ein übergreifendes Admin-Passwort in Unternehmen heute noch gängige Praxis, obwohl dies eine allseitsbekannte Sicherheitslücke darstellt. Jede Windows-Maschine benötigt nun mal ein eigenes, einzigartiges Administrator-Passwort. Die Kombination aus LSASS und abgesichertem Modus macht unter den neueren Windows-Versionen Mimikatz wirkungslos.

Daneben sollten Sie Ihre Mitarbeiter hinsichtlich der Gefahren durch Phishing-Mails aufklären und die Verwendung von Makros einschränken,

Mimikatz entdecken

Mimikatz zu entdecken, ist ein schwieriges Unterfangen, da die meisten Detection-Lösungen bei der Software nicht anschlagen. Die einzige wirkliche Lösung, um Mimikatz sicher zu identifizieren ist, das eigene System gezielt darauf zu untersuchen. Der Einsatz einer manuellen Netzwerk-Monitoring-Komponente ist daher absolut zu empfehlen.

Was also tun?

Letztlich bleibt, dass Mimikatz ein hochgefährliches und effizientes Tool für Hacker ist, das leicht an automatisierten Sicherheitsprüfungen vorbeischlüpfen kann. Daher ist hier der Mensch in der Pflicht, wachsam zu bleiben. Einfache Sicherheitsinstallationen wie einzigartige Admin-Passwörter für jede Maschine. Nur notwendige Admin- und Remotezugänge sowie Multifaktor-Authentifizierungen, die nicht mit der Logik der Windows-Systeme funktionieren, bilden eine starke Hürde.

Black Friday – wenn Cyberkriminelle Ihre Daten „shoppen“

24. November 2020/in Datenschutz, Identity and access management, IT Security/von Michaela Senft

Es ist Ende November und damit für die meisten von uns Schnäppchenzeit: Unter Bezeichnungen wie Black Friday, Black Week, Cyber Week, Cyber Friday – oder anderen kreativen Namen – locken Unternehmen uns Schnäppchenjäger jetzt im Kampf ums Vorweihnachtsgeschäft. Doch die Schnäppchen locken nicht nur uns als Konsumenten, sondern auch Cyberkriminelle. Und diese wiederum locken ihrerseits mit „Angeboten“ per E-Mail oder Online-Anzeigen, um uns so unbemerkt unsere Daten zu entlocken. Das britische National Cyber Security Centre (NCSC) hat anlässlich der Shopping-Week nun seine Warnung zur Achtsamkeit beim Online-Shopping erneuert. Ganz besonders im Kauf- und Schnäppchenrausch sollten Konsumenten darauf acht geben, wo sie shoppen und welche Daten sie dabei preisgeben.

Black Friday-Angebote via Phishing-Mails

Diese Achtsamkeit beginnt jedoch schon vor dem eigentlichen Shopping-Erlebnis. Denn unter der Flut an tatsächlichen Angebots-E-Mails von diversen Anbietern kann sich auch die ein oder andere Phishing-Mail verstecken. Natürlich möchten alle am Vorweihnachtsgeschäft teilhaben, doch sind diese Phishing-Mails darauf aus, Usernamen, Passwörter oder Kreditkarteninformationen zu erhalten – ganz ohne Gegenleistung natürlich. Sie sollten besser hellhörig werden, wenn Sie Angebote von Händlern erhalten, die sie nicht kennen. Oder wenn direkte Links zu Schnäppchenartikeln angeboten werden. Besser ist es in jedem Fall, die Seite des Händlers manuell ins Suchfeld einzugeben, um sicherzugehen, dass Sie auch wirklich auf der richtigen Homepage landen. Das Angebot wird dort schon zu finden sein, wenn es denn ein richtiges Angebot des Händlers ist. Denn oft genug gilt: Ist das Angebot zu gut, um wahr zu sein, dann ist es das wohl auch!

Mehr Informationen?! – Dann besser keine Informationen

Nichts spricht dagegen, auch kleinere und unbekannte Händler auszuprobieren und nicht immer beim gleichen bekannten multinationalen Anbieter einzukaufen. Doch es gibt ein paar Indizien, die helfen, seriöse Webseiten von unseriösen zu unterscheiden. So sollte der Bezahlvorgang übersichtlich gestaltet sein und keine persönlichen Informationen abgefragt werden, die nicht unbedingt notwendig sind. Zusätzliche Sicherheitsdetails wie ein Codewort oder eine Geheimfrage klingen zwar erst mal vertrauenserweckend – sind es aber ganz und gar nicht. Beim Bezahlvorgang sollten Sie wirklich nicht nach dem Mädchennamen Ihrer Mutter, Ihrem ersten Haustier oder dem Wohnort Ihres Bruders gefragt werden. Spätestens hier sollten Sie den Kauf-Vorgang abbrechen. Im Idealfall bevor Sie Ihre Bankverbindung preisgegeben haben.

Prüfen Sie die Sicherheit des Zahlungsvorgangs

Ganz anders als eine unnötige Sicherheitsabfrage ist die Frage nach einer Multi-Faktor-Authentifizierung zu werten. Eine Multi-Faktor-Authentifizierung dient dazu, Sie als Käufer auszuweisen. Ohne die Eingabe eines zweiten Faktors neben dem Passwort – meist handelt es sich um einen Code, der Ihnen per E-Mail oder SMS zugesendet wird – kann niemand eine Bestellung in Auftrag geben. Das sorgt schon einmal dafür, dass nur derjenige diesen Vorgang ausführen kann, der Zugang zu Ihrer Mailadresse bzw. Ihrem Smartphone hat. Nicht alle seriösen Online-Shops bieten diese jedoch an: Wenn Sie zumindest eine kleine Sicherheit haben wollen, dann checken Sie vor dem Eingeben Ihrer Daten die Adressleiste des Browsers. Befindet sich dort ein Vorhängeschloss-Symbol, dann bedeutet dies, dass die Verbindung zu dem Händler gesichert ist. Natürlich bedeutet dies nicht, dass der Händler selbst ein legitimer Händler ist, aber immerhin ist die Verbindung gesichert.

Und sollte der Shop die Speicherung Ihrer Bezahldaten anfragen, dann tun Sie dies nur, wenn Sie wirklich sicher sind, dass Sie dort ein weiteres Mal bestellen wollen. Ansonsten ist diese Angabe absolut unnötig. Und schafft einen weiteren Unsicherheitsfaktor.

Black(out) Friday und Amazon Phishing Day

Ein ähnliches Phänomen wie rund um den Black Friday findet sich auch am Amazon Prime Day: Auch hier nutzen Cyberkriminelle ein Event sowie die Schnäppchenlaune der Kunden rund um dieses aus, um an Passwörter, Kreditkartendaten und ähnliches zu kommen. Hierbei setzen sie bei ihren Phishing-Kampagnen auf einen möglichst ähnlichen Aufbau ihrer Fake-Amazon-Seite und nutzen dabei oft ähnliche Aktionen wie das „richtige“ Amazon. Diese Aktionen sind besonders perfide, da auch die URLs dem Original möglichst nahekommen wollen und zumindest „amazon“ auch im Namen haben. Oft ist die URL unnötig lang, sodass nicht auf den ersten Blick erkennbar ist, dass es sich um eine gänzlich andere Seite handelt, die zwar scheinbar zu Amazon gehört, aber letztlich ganz woanders gehostet wird.

Stutzig werden sollten Sie immer dann, wenn Sie kein Passwort bei Amazon eingeben sollen – jedoch andere persönliche Angaben bis hin zu Ihrer Kredit- oder Debitkartennummer. Sicherheitsexperten raten Ihnen daher dringend: Auch zu Sonderaktionen wie dem Amazon Prime Day oder dem Black Friday sollten Sie immer auf der eigentlichen Seite starten und niemals aus einem E-Mail-Link heraus. Sollte zudem etwas bei der Eingabe Ihrer Daten anders sein als sonst, handelt es sich womöglich um eine betrügerische Fake-Seite. Und achten Sie auf Details: Sieht die Seite so aus, wie Sie es gewohnt sind? Ist das Einkaufswagensymbol an derselben Stelle wie sonst? Sind alle Bilder scharf? Gelangen Sie mit einem Klick auf das Logo des Shops auf dessen Startseite? Ist eine durchgängige Navigation im Shop möglich? Ist die URL vollständig und logisch? Erst wenn diese Dinge alle stimmen, sollten Sie mit dem Bezahlvorgang anfangen.

Datenschutz und IT-Sicherheit im Gesundheitswesen

18. November 2020/in Datenschutz, Identity and access management, IT Security/von Michaela Senft

Die Digitalisierung unseres Gesundheitswesens schreitet massiv voran: Mittels der sog. Telematikinfrastruktur fördert der Bund die Vernetzung der medizinischen Einrichtungen. In Folge der Corona-Krise ist der Bedarf an Online-Kommunikation zwischen Arzt und Patienten gestiegen. Ergänzend zu diesen Entwicklungen wird im Januar 2021 die Elektronische Patientenakte eingeführt.

Bei einer derartigen Vernetzung unseres Gesundheitsswesens ist es Zeit, einen kritischen Blick auf die Sicherheit der Systeme und damit unserer Daten zu werfen. Denn wie wichtig für den Schutz von Patientenunterlagen die IT-Sicherheit ist, zeigen leider diejenigen Fälle, bei denen es Angreifern gelungen ist, in das System einer Einrichtung einzudringen, dieses lahmzulegen oder – im schlimmsten Fall – sogar Datensätze zu stehlen.

Über größere Angriffe auf Krankenhaus-IT weltweit wurde in der letzten Zeit auch vieles berichtet. Dabei sollte man jedoch nicht außer Acht lassen, dass nicht nur große medizinische Einrichtungen von Cyberattacken betroffen sein können. Es trifft auch kleine, selbstständige Praxen – ein solcher singulärer Angriff kann aus verschiedenen Gründen existenzbedrohend sein. Und auch für uns Verbraucher mit Risiken verbunden.

IT-Strukturen im Gesundheitswesen richtig absichern

Grundlagen sicherer IT-Systeme

Zunächst gilt für medizinische Einrichtungen mehr noch als für alle anderen, dass sie ihre IT-Infrastruktur sorgfältig auswählen und pflegen müssen. Ein aktuelles Betriebssystem mit allen relevanten Sicherheitsupdates, eine funktionierende Hardware-Firewall sowie ein aktuelles und intelligentes Anti-Virenprogramm sollten Standard sein. Hinzukommen sollten regelmäßige Sicherheitsupdates sowie am besten tägliche Back-ups, die nicht aus dem System bearbeitbar sind. So können Einrichtungen im Falle eines Ransomware-Angriffs schnell wieder einsatzbereit sein. Und der Datenverlust in den eigenen Systemen hält sich zumindest in Grenzen.

Doch auch Passwortsicherheit ist ein wichtiger Punkt, der allzu oft im Berufsalltag untergeht: Für viele niedergelassene Ärzte gilt es, einen Kompromiss zwischen Sicherheit und Praktikabilität zu finden. Insbesondere deshalb, weil Rechner am Empfang oder in Laboren möglicherweise von mehrern Personen benutzt werden. Dennoch sollten auch diese gemeinschaftlich genutzten Passwörter den Sicherheitsstandards entsprechen und regelmäßig erneuert werden. Wir raten auch dazu, eine praktikable Multi-Faktor-Authentifizierung einzuführen.

Da es sich um sensible Infrastruktur handelt, sollten auch klare Regelungen zur IT-Nutzung am Arbeitsplatz geschaffen werden: Dürfen private Mails gecheckt werden? Sind Online-Einkäufe oder sonstiges Surfverhalten erlaubt? Dürfen eigene Speichermedien mitgebracht und genutzt werden? Gibt es extra dafür sogar Geräte, die nicht an das Praxisnetz angebunden sind? Wichtig ist hierbei, die Aufmerksamkeit für mögliche Sicherheitslücken, die durch dieses Verhalten auftreten könnten, zu erhöhen. Mitarbeiterschulungen zum Thema IT-Sicherheit, Phishing oder Social Engineering sollten daher regelmäßig durchgeführt werden.

Cyberversicherungen können zudem die (finanziellen) Risiken, die nach einem erfolgten Angriff auftreten, minimieren. Oftmals sorgen gute Sicherheitskonzepte für eine Minimierung des Beitrags und allein der Zwang, sich mit dieser Thematik auseinanderzusetzen, schafft gute Voraussetzungen für eine tatsächliche Umsetzung der Pläne.

Erhöhte Sicherheit dank Telematikinfrastruktur (TI)?

Mit der großflächigen Einführung der Telematikinfrastruktur (TI) seit 2018 in deutschen Arztpraxen sollte die Sicherheit der Systeme zusätzlich erhöht werden. Über diesen sicheren Kanal sollten Patienteninformationen schnell und sicher zur Verfügung gestellt werden, um Behandlungskosten durch wiederholte Untersuchungen zu senken. Die Berichte häufen sich jedoch, dass die Anbindung an das Netz nicht so sicher ist wie angekündigt.

Welche Sicherheitslücken der TI werden beschrieben?

Trotz Zwang zum Anschluss an die TI ist insbesondere die Haftbarkeit bei Cyberangriffen – und somit bei datenschutzrechtlichen Fragen – nicht ausreichend geklärt. Der IT-Experte Jens Ernst von happycomputer hat bereits im vergangenen Jahr erhebliche Datenschutzmängel beim Anschluss an die Telematikinfrastruktur offengelegt.

Das beginnt schon bei der Art, wie der TI-Konnektor in das Netzwerk der Praxen eingebunden wird. Hier gibt es nämlich die Möglichkeit, zwischen einer seriellen und einer parallelen Einbindung zu wählen. Eine serielle Einbindung hat zwar zunächst einen höheren Installationsaufwand, bietet jedoch den Vorteil, dass alle Geräte der Praxis in das Sicherheitsnetzwerk des Bundes aufgenommen werden. Eine extra Absicherung seitens der Praxisinhaber sei nach Angabe der Gematik nicht notwendig. Eine parallele Einbindung hingegen setzt voraus, dass sich die Ärzte selbstständig um eine Sicherung ihrer vorhanden Systeme und Geräte bemühen. Dies macht eigentlich nur für größere Einheiten Sinn, die schon vorher viele Geräte in ihrem System eingebunden hatten.

Dennoch wurden anscheinend die meisten Betriebe im Parallelbetrieb angeschlossen. In diesem Fall müssten die Praxisinhaber nun selbst dafür sorgen, dass ihre eigenen Systeme gesichert werden. Viele geben jedoch an, nicht genügend von ihrem IT-Provider darüber aufgeklärt worden zu sein. Ernst beschreibt, dass selbst bei den wenigen Einrichtungen, die seriell angebunden wurden, Sicherungssysteme nicht korrekt funktionieren. Denn die Firewall des genutzten TI-Konnektors würde nicht ausreichen, um eine von ihm aufgespielte Anti-Viren-Test-Datei zu erkennen. Dies bedeutet, dass auch in diesem Fall ohne weitere Sicherheitsmaßnahmen keine Sicherheit vor dem Zugriff durch Dritte stattfindet. In den allermeisten Praxen gibt es somit – egal wie sie eingebunden sind – keine Hardware-Firewall. Daneben wurde oftmals der Virenschutz auf dem Rechner und die Software-Firewall, die jeder Rechner heute besitzt, abgeschaltet.

Wie kann das Gesundheitswesen die IT-Sicherheit gewährleisten?

Ernst fordert zu einem offenen Umgang mit dem Thema Cybersecurity auf, die im Grunde genommen auf drei Pfeilern steht:

Eine Praxis benötigt eine höhere Sicherheitsstufe als nur einen Router, wie es aktuell oft Alltag ist.
Sensible Daten sollten nicht über ein WLAN-Netz versendet werden. Das LAN-Netz des Konnektors sendet Daten unverschlüsselt; durch ein Eindringen ins WLAN ist ein „Mithören“ möglich.
Geräte, die aufgrund ihrer Bauweise nicht genügend geschützt werden können, sollten nicht verwendet oder in einer DMZ (Demilitarized Zone) betrieben werden.

Er schlägt darüberhinaus die Entwicklung einer DMZ vor, in die alle Systeme der TI eingeschlossen werden. Das ist aktuell noch nicht einmal der Fall bei der Telematikinfrastruktur selbst. Zudem bemängelt er, dass IT-Spezialisten zum Anschließen der TI kein gesondertes Zertifikat seitens der Gematik benötigen. Dies würde sicherstellen, dass nur geschultes Personal die Einrichtung durchführen darf und genügend Aufklärungsarbeit bei den haftenden Ärzten geleistet wird.

Zusammenfassend gibt Ernst an, dass die Sicherheit aller Systeme nur gewährleistet werden könne, wenn die allermeisten Praxen ihre Rechner komplett vom Netz nehmen würden. Sowohl die TI-Konnektoren als auch die eigenen Systeme würden keinerlei Schutz bieten, um Verbraucherdaten sicher zu verstauen.

Auch wir als Sicherheitsexperten sagen: Sicherheit sollte hier ganz klar der wichtigste Ausgangspunkt der Digitalisierung sein. Die Absicherung der Systeme muss gewährleistet sein, bevor eine Einrichtung angeschlossen wird.

Was denken Sie? Diskutieren Sie mit.

Viren im Krankenhaus – IT-Sicherheit während der Corona-Pandemie

13. November 2020/in Identity and access management, IT Security, Schadsoftware/von Michaela Senft

Die Corona-Pandemie bringt Krankenhäuser und Pflegeeinrichtungen an ihre Belastungsgrenzen. Das betrifft auch die IT-Sicherheit vieler Einrichtungen. Laut Interpol wurde in den vergangenen Monaten eine steigende Anzahl von Angriffen auf das IT-Netzwerk von Krankenhäusern gemeldet.

Besonders in den USA warnt das FBI seit Oktober vor steigenden Cyberangriffen auf Kliniken und die daran angebundenen Dienstleister. Hier war es Ende Oktober gelungen, verschiedene Einrichtungen mit einer sog. Ransomware zu infizieren. Durch die Datenverschlüsselung war ein Normalbetrieb der Krankenhäuser nicht mehr möglich. Lesen Sie hier mehr.

Doch warum bieten gerade Krankenhäuser so gute Angriffsflächen für Cyberattacken?

IoT-Einführung trotz niedriger Sicherheitsstandards

Krankenhaus-IT ist insbesondere eines: historisch gewachsen. Und genau hier liegt das Problem, in doppelter Hinsicht. Historisch bedeutet, dass teilweise nicht alle Betriebssystem und Applikationsstrukturen wirklich auf dem neusten Stand der Technik sind. Oft fehlen wichtige Sicherheitsupdates oder -patches, um die Systeme zu schützen. Gleichzeitig wächst die technische Infrastruktur im Gesundheitswesen durch die Digitalisierung verschiedener Prozesse rasant.

Das betrifft medizinische Geräte, die über das IoT, aber oftmals auch mit dem Büro-Netzwerk kommunizieren können. Letzteres ist potenziell hoch-riskant, da bei einem Angriff auf Büro-Computer auch die IoT-Geräte im Hintergrund betroffen sind. Tragbare medizinische Geräte zur Fernüberwachung von Patienten, die Vitalwerte messen, könnten so unter Umständen ausfallen. Eine Cyberattacke wäre somit lebensbedrohlich für Patienten.

Daneben nutzen Kliniken auch im Bereich der Büro-IT Möglichkeiten zum weiteren digitalen Ausbau: Neue PCs, Tablets oder andere Smart Devices werden angeschafft, über die Patientendaten intern kommuniziert werden können. Diese Geräte sind aber möglicherweise gar nicht für den Einsatz in einer hochsensiblen Umgebung wie einer Klinik konzipiert und entsprechen weder datenschutzrechtlich noch hinsichtlich der IT-Sicherheit den Normen. Schwachstellen in deren Sicherheitssystemen sind somit auch ideale Ansatzpunkte, um die technische Infrastruktur zu kompromittieren.

Hinzu kommt, dass unter dem Sparzwang einiger Einrichtungen oftmals das Budget für eine ausreichende Sicherung der IT Systeme fehlt. Sie investieren zwar in neuste Technik, das Geld und Know-how für die entsprechende Absicherung fehlt jedoch. Und manchmal haben die Kliniken es auch selbst nicht in der Hand. Immer dann, wenn sie an Drittanbieter und deren Systeme angebunden sind. Denn selbst wenn die eigene IT sehr gute Sicherheitsstandards hat, ist dies nicht zwangsläufig auch für externe Anbieter richtig.

IT-Sicherheit – nicht nur eine Zeitfrage

Personal- und damit Zeitmangel sind leider Alltag im Bereich der medizinischen und Pflegeberufe. Oftmals fehlt für die eigentliche Arbeit die nötige Zeit – woher dann diese nehmen, sich obendrein noch mit IT Sicherheit zu befassen? Einfache Regeln wie einen Sperrbildschirm einzuschalten, sobald man den Platz verlässt, oder aber auch die genau Prüfung eines Absenders einer E-Mail, kennen sicherlich die meisten. Doch oft fehlt im Berufsalltag hier die nötige Zeit und/oder das nötige Bewusstsein für die damit verbundenen Gefahren. Mitarbeiterschulungen zum Thema IT-Sicherheit könnten hier Abhilfe schaffen – wenn sich Zeit und Budget fände.

Gesteigerte Aufmerksamkeit wäre aber durchaus sinnvoll. Krankenhäuser sind nun mal öffentliche Einrichtungen und daher an sich leicht zugänglich. Auch wenn die Maßnahmen in der Corona-Zeit Zutritte erschweren, so ist doch zumindest anzumerken, dass insbesondere der Empfang ein potenzielles IT-Sicherheitsrisiko birgt. In einem unbeaufsichtigten Moment könnte ein potenzieller Angreifer mittels einer über einen USB-Stick am Empfangs-PC aufgespielten Schadsoftware unbemerkt in die IT des Krankenhauses gelangen.

Hinzu kommt, dass moderne Krankenhäuser selbst als IT-Service-Provider fungieren. Patienten und Besuchern werden WLAN-Zugänge bereitgestellt. Sind die Systeme nicht losgelöst vom eigentlichen Betriebsnetzwerk, wird hier ein mögliches Einfallstor für Hacker offengelassen.

Erhöhung der Endpoint Security der vielfältigen Krankenhaus-IT-Landschaft

Sie sehen also: Krankenhäuser und andere medizinische Einrichtungen besitzen schon als Einheit eine vielfältige IT-Landschaft. Diese miteinander verwobenen Bereiche machen die gesamte IT verwundbar, sobald sich eine Schwachstelle zeigt. Aufgrund der Sensibilität und Kritikalität der Daten und der damit verbundenen Geräte und Handlungsabläufe bedürfen sie an sich sehr hoher Sicherheitsstandards. Die Endpoint Security von KRITIS-Einrichtungen zu erhöhen, sollte daher ein Anliegen sein.

Ein Mantra, das nicht nur wir immer wieder wiederholen, ist die aktive Schulung der Mitarbeiter, die als organisatorische Einheit zur Endpoint Security zählt: Aufklärung schafft ein Bewusstsein für mögliche Gefahrenquellen und wie diese zu verhindern sind. Auch ein gut eingerichteter Mail-Schutz ist für eine KRITIS-Einrichtung Pflicht.

Zudem sollte ein Internet-Zugang nur an denjenigen Geräten verfügbar sein, die diesen auch tatsächlich benötigen. RDP-Ports (Remote Desktop Protocol) sollten so abgesichert werden, dass ein Zugriff von außen nicht möglich ist. Und vor allem: Geschäftskritische Bereiche und das Besucher und Patienten-WLAN sollten keinesfalls aneinandergekoppelt sein!

Und – wir können das gar nicht oft genug wiederholen – aktivieren Sie eine Multi Faktor Authentifizierung (MFA) bei allen Anwendungen, die an geschäftskritische Netzwerke angeschlossen sind. Dies bietet eine hohe Hürde vor dem Eindringen unbefugter Dritter und vor allem vor der Kompromittierung der Systeme durch diese.

Zurück ins Homeoffice – So bleibt Ihre IT trotzdem sicher

10. November 2020/in IT Security/von Michaela Senft

Seit dem weltweiten Ausbruch des neuartigen SARS-CoV2-Virus im März steht unsere Gesellschaft vor vielen Herausforderungen. Dies betrifft auch die Art und Weise, wie und besonders wo wir arbeiten. Viele Firmen sind in der Folge plötzlich und meist abrupt ins Homeoffice umgezogen. Laut Bitcom war fast jeder 2. Arbeitnehmer von dieser Entwicklung betroffen. Doch wie gut konnte die IT-Sicherheit im Homeoffice gewährleistet werden? Und besonders: Was konnten wir daraus für die aktuelle 2. Homeoffice-Welle lernen?

IT-Sicherheit oder reibungsloser Betriebsablauf im Homeoffice?

Das sollte keine Entscheidungsfrage sein, auch wenn die Realität gezeigt hat, dass dies durchaus so war.

Quasi über Nacht sind die Mitarbeiter – und damit auch die von ihnen genutzte IT – ins Homeoffice gegangen. Viele Firmen waren auf eine derartige Entwicklung nicht vorbereitet, galt das Homeoffice doch lange als keine Alternative zur Präsenzzeit vor Ort. Das bedeutet auch, dass deren IT-Strukturen gar nicht auf diese Situation ausgelegt waren. Oftmals hatte dann auch zunächst die geschäftskritische Infrastruktur beim Aufbau der remoten Arbeitslandschaft Priorität.

Die Verantwortung für die Sicherheit der eingesetzten Geräte wurde damit an die Mitarbeiter abgegeben. Oftmals fehlten jedoch schon die Grundlagen für die IT-Sicherheit, wie Schulungen oder die nötige Infrastruktur für die Arbeit aus der Ferne.

Eine Umfrage der Computerbild macht deutlich, dass darüber hinaus grundsätzliche Sicherheitsmaßnahmen nicht genutzt wurden: Fast zwei Drittel der Befragten gaben an, einen Passwortschutz der Rechner und installierte Virenschutzprogramme zu haben. Doch eine Trennung von privat und beruflich genutzen Geräten nannten nur noch knapp die Hälfte. Auch VPN-Verbindungen sowie Multi Faktor Authentifizierungen (MFA) wurde nur von etwa einem Drittel der Befragten genutzt.

Gleichzeitig hatten viele Unternehmen stark fragmentierte Sicherheitssysteme, die als Silos arbeiteten. Zumindest auf Führungsebene hat die Coronakrise durchaus ein Bewusstsein für neue vereinheitlichte Sicherheitssysteme geschaffen. Lösungen wären hier etwa Managed Security Services (MSS), die eine Sicherheitslösung für alle Geschäftsbereiche aus einer Hand anbieten. Es ist davon auszugehen, dass Kosten und Nutzen von Sicherheitslösungen in der nächsten Zeit neu bewertet werden. Und Unternehmen bereit sind, sich von alten Strukturen zugunsten einer erhöhten Sicherheit zu lösen.

Gefahr der IT-Sicherheit durch Cyberangriffe im Homeoffice

Dennoch gibt es eine gute Nachricht: Trotz oftmals schwacher Sicherheitsausstattung im Homeoffice hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst keinen erhöhten Anstieg von (erfolgreichen) Cyberangriffen auf Unternehmen festgestellt. Wobei der befürchtete Reputationsverlust auch dazu geführt haben könnte, dass Unternehmen derartige Angriffe nicht nach außen dringen lassen. Versuchte Angriffe also eher nicht gemeldet wurden und die Dunkelziffer somit deutlich höher liegen könnte.

Obwohl die Anzahl der Angriffe nicht zugenommen hat, haben sich doch die Themen geändert, mit denen Angreifer Firmen und deren Mitarbeiter angehen. Zwar setzt Malware-Spam von Haus aus mit Social Engineering-Methoden auf die Ängste und Sorgen von Menschen. Zentrale Themen waren in den vergangenen Monaten die neuen Unsicherheiten im Zusammenhang mit der Corona-Krise.

CEO-Fraud bzw. Business Email Compromise (BEC)

CEO-Fraud ist ebenfalls keine neue Erfindung, doch war diese Phishing-Taktik im Zusammenhang mit der Corona-Krise vermehrt zu beobachten. Das Vorgehen ist dabei immer gleich: Ein Mitarbeiter erhält eine (vermeintliche) E-Mail von einem Vorgesetzten. Mit der Bitte, eine Termineinladung über einen Link anzunehmen. Oder eine größere Geldsumme an ein bestimmtes Konto zu transferieren. Dringend!

Wenn Sie nicht sowieso in ständigem Kontakt mit Ihrem Vorgesetzten stehen, dann sollten Sie in jedem Fall hellhörig werden. Doch auch im ersten Fall gilt: Greifen Sie am besten erst mal zum Telefonhörer und lassen Sie sich die Sache nochmals bestätigen. Denn möglicherweise haben Angreifer die Identität Ihres Vorgesetzten angenommen – mithilfe von frei zugänglichen Daten im Internet sowie möglicherweise bereits vorheriger „Informationskampagnen“ bei internen Mitarbeitern. Letzteres gilt insbesondere dann, wenn Sie normalerweise kein direkter Ansprechpartner für die Führungsebene sind.

Prüfen Sie zudem nochmals die Absenderadresse: Oftmals findet hierbei nicht die Arbeits-E-Mail-Adresse Verwendung, sondern eine vermeintlich „private“ Ihres Arbeitgebers. Doch auch die offizielle Adresse ist nicht immer ein Grant für eine echte Mail. Möglicherweise wurde das Postfach Ihres Vorgesetzten bereits durch einen Angriff mittels einer Schadsoftware, z. B. Emotet übernommen. Mithilfe des sog. Outlook-Harvestings ist es den Angreifern nun gelungen, täuschend echt aussehende E-Mails an weitere Empfänger zu versenden.

Diese Maßnahmen sichern Ihre IT

Sie sehen also: Neben der technischen Komponente muss auch der Faktor Mensch bei der Sicherung Ihrer IT-Systeme miteinbezogen werden.

Kurzfristige Maßnahmen wie die strikte Trennung von privaten und beruflichen Geräten sind hierbei schon mal ein guter Anfang für die aktuelle Lage. Langfristig benötigen Sie jedoch eine ganzheitliche Strategie, die bei der Wahl der eingesetzten technischen Lösungen anfängt. Dies betrifft VPN-Clients, Cloud Applikationen sowie Firewall und Anti-Virenprogramme. Im Idealfall gehen diese Bausteine Hand in Hand, sodass der Pflegeaufwand Ihrer IT-Infrastruktur zurückgeht.

Essenziell ist daneben, dass Sie sich der Bedeutung des Sicherheitsrisikos Mensch noch mehr bewusst werden – und aktiv Maßnahmen ergreifen. Dies beginnt mit Schulungen zum Thema Phishing, die nicht nur die Grundproblematik ins Auge nehmen, sondern auch technische Aspekte erklären. Erst dadurch kann ein Grundverständnis für die Gefahren solcher Attacken entstehen.

Gleichzeitig raten wir Ihnen dazu, eine verbesserte Passwort-Sicherheit in Ihrem Unternehmen einzuführen. Mittels Multifaktor Authentifizierung (MFA) müssen sich Nutzer beim Anmelden an verschiedenen Applikationen oder Geräten mehrfach ausweisen. Dies steigert die Sicherheit vor unbefugter Nutzung durch Dritte. Besonders wichtig ist eine MFA bei all denjenigen Mitarbeitern, die Administrationsrechte oder Remote-Zugriffsrechte auf Server und Geräte Dritter besitzen.

Gerne stehen wir Ihnen als Ansprechpartner für Ihre IT-Sicherheit zur Verfügung.

Sie haben Fragen oder Ergänzungen? Dann hinterlassen Sie uns einen Kommentar. Wir freuen uns auf Ihre Rückmeldung.

Schadsoftware – Was Sie wissen sollten

2. November 2020/in Identity and access management, IT Security, Schadsoftware/von Michaela Senft

Die Digitalisierung ist längst in allen Bereichen unseres Lebens angekommen: Wir nutzen täglich privat Smartphones oder Smart Devices und geschäftlich Dienstlaptops und Arbeitsrechner. Aber auch die elektronischen Bezahlmöglichkeiten im Supermarkt doer den öffentlichen Schienenverkehr – oder kurz: Unser gesamtes öffentliches Leben ist digitalisiert. Diese Durchdringung all unserer Lebenswelten erleichtert uns unseren Alltag. Sie macht uns aber gleichzeitig auch durch Cyber-Angriffe verwundbar.

Daher muss es von Anfang an unser Ziel sein, unsere technische Infrastruktur so gut wie möglich vor Schadsoftware und anderen kriminellen Handlungen zu schützen.

Cyberkriminalität in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die IT-Sicherheit auf Bundesebene verantwortlich. In seinem kürzlich veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland 2020 stellt das BSI fest: Cyberkriminalität richtet sich gegen Privatpersonen sowie Firmen und Organisationen bzw. Institutionen. Häufig geht es bei derartigen Angriffen darum, personenbezogene Daten abzugreifen und aus den gewonnenen Informationen finanziellen Nutzen zu ziehen.

Eigenverantwortung des Users – der Faktor Mensch als größter Risikofaktor für Ihre IT-Sicherheit

Die Pflege Ihrer Hard- und Software liegt bei Ihnen. Das bedeutet auch, dass Sie als User Ihr Handeln prüfen müssen: Denn neben fehlenden Softwareupdates ist die Interaktion mit schädlichen E-Mails oder Webseiten DIE Sicherheitslücke in Ihrem IT-System. Um ein Schadprogramm erfolgreich auf einem Gerät zu installieren, braucht es nämlich oft die (aktive) Mithilfe des Users. Etwa durch den unvorsichtigen Klick auf einen Link oder E-Mail-Anhang, der die Installation einleitet. Im schlimmsten Fall geschieht dies alles, ohne dass Sie als User etwas davon mitbekommt.

Zwei Begriffe, die uns bei Cyber-Attacken oft begegnen, sind Phishing und Social Engineering. Bei sog. Phishing-Mails handelt es sich um betrügerische E-Mails, die dazu dienen, den Empfänger zu selbstschädigenden Handlungen zu bewegen. Um dies zu erreichen, setzen die Angreifer auf Social Engineering-Techniken. Dies meint den Einsatz von psychologischen Tricks, wie etwa die Ausnutzung von Ängsten, Zwängen oder Notlagen, um entweder die direkte Herausgabe von Passwörtern und Zugangsdaten oder aber die Installation einer Schadsoftware durch Klicks zu erreichen.

Leider werden derartige E-Mails immer besser und können selbst von geschulten Usern nicht mehr unbedingt auf den ersten Blick als solche erkannt werden. Der unbekannt-verschollene, reiche Verwandte aus absurdesten Teilen der Welt wurde mittlerweile abgelöst von täuschend echt aussehenden z. B. PayPal-E-Mails, die gezielt die Passwörter und Kreditkartendaten der Nutzer ab-„fischen“ wollen.

Auch schlechte Grammatik und falsches Vokabular finden sich in modernem und gut gemachtem Malware-Spam kaum noch. Und – besonders perfide – auch ein https-Link ist laut BSI längst keine Garantie mehr für Sicherheit – in etwa 60 % des registrierten Malware-Spams in 2019/20 kommen bereits https-Links zum Einsatz. Zwar soll das Security-Zertifikat sichere Homepages ausweisen, doch kann man dieses kostenlos im Internet lizenzieren lassen. Unabhängig davon, ob der Inhalt tatsächlich für den Verbraucher sicher ist.

Diese Schadsoftware sollten Sie kennen

Im vergangenen Jahr (Juni 2019 – Mai 2020) entstanden laut BSI zudem täglich durchschnittlich etwa 322.000 neue Schadprogramm-Varianten. Als Schadprogramme sind hierbei alle Programme anzusehen, die an sich schädlich sind oder aber andere Programme dazu befähigen können, Schaden anzurichten. Eine Variante entsteht durch die Weiterentwicklung bestehender Schadsoftware. Sie ist besonders am Anfang gefährlich, da Anti-Viren-Programme diese möglicherweise noch nicht als Gefahr erkennen können.

Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge ausnutzen.

Außerdem nutzt die Schadsoftware zum tieferen Eindringen in ein Unternehmensnetzwerk gezielt Schwächen bei Fernwartungs- und VPN-Zugängen aus. Ziele waren im letzten Untersuchungszeitraum laut BSI insbesondere Firmennetzwerke finanzstarker sowie mittelständischer Unternehmen. Hierunter fallen z. B. spezielle Zulieferer für die Automobilindustrie, die Finanz- und Gesundheitsbranche sowie die Flugindustrie.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert. Es lohnt sich durchaus, bereits präventive Pläne für mögliche Ransomware-Angriffsszenarien auszuarbeiten und zu testen.

Emotet – eine mehrstufige Schadsoftware von neuer Qualität

Ein gutes, aber gleichzeitig extrem schädliches Beispiel für die Weiterentwicklung bestehender Schadsoftware ist Emotet. Diese Software tritt laut BSI seit September 2019 wieder vermehrt auf und macht den Großteil der Schadsoftwareangriffe aus. Die Schadsoftware vereint verschiedene Angriffsstrategien in sich und ist in der aktuellen Ausprägung in der Lage, E-Mail-Inhalte auszulesen und mittels der gewonnenen Informationen weitere Spam-E-Mails zu generieren.

Dies ist besonders gefährlich und selbst für sensibilisierte Nutzer nicht unbedingt leicht zu erkennen, da die so generierten Spam-E-Mails von echten und bekannten Accounts kommen. Emotet setzt für die Erst- und Weiterinfektion via E-Mail auf fortschrittliche Social Engineering-Methoden. Einmal installiert erfolgt mithilfe der gewonnen Account-Daten eine Weiterinfektion anderer Mailaccounts durch das Schneeballsystem. Die Ausspähung des Mail-Account, auch Outlook-Harvesting genannt, ermöglicht dem Programm, täuschend-echt aussehende Antwortmails des Opfers an weitere Accounts zu schicken – und das meist ganz automatisiert.

Neben der Ausweitung des Infektionsnetzes, infiziert Emotet das System durch Nachladen weiterer Schadsoftware. Das BSI berichtet für das vergangene Jahr vor allem von Trickbot, einer Software, die in der Lage ist, das System auszuspionieren und zu sabotieren. Trickbot kann dabei bis in die Active Directory des Nutzers eindringen und im Domain Control Center alle Nutzerdaten und Administrationsrechte auslesen. Zudem ermöglicht Trickbot Angreifern den aktiven Zugriff auf das System, das Anlagen von neuen Administrationsrechten oder das Erstellen von Backdoors, mit deren Hilfe Informationen unerkannt auch über einen längeren Zeitraum an die Angreifer weiter geleitet werden können.

Im letzten Schritt nutzen Angreifer die gewonnenen Informationen gezielt dazu, auch manuell mittels einer Ransomware (meist Ryuk) auf das System zuzugreifen. Hier greifen dieselben Methoden, die auch bei einem klassischen Ransomware-Angriff genutzt werden.

So sorgen Sie Schadsoftware-Infektionen vor

Ein erster wichtiger Schritt zur Prävention derartiger Angriffe sind gezielte Mitarbeiterschulungen. Etwa zu den Themen Phishing sowie Social Engineering, um sie für diese Themen zu sensibilisieren. Gleichzeitig gehören verbesserte Backup-Strukturen mit häufigeren und sog. Offline-Backups (d. h. Backups, die nicht aus dem Netzwerk heraus lösch- und änderbar sind) zu einem Vorsorgeplan gegen Cyber-, insbesondere Ransomware-Angriffe. Diese sorgen dafür, dass Sie im Worst Case wieder schnell einsatzfähig sind.

Zudem bilden die Reduzierung der von außen zugänglichen Systeme auf ein Minimum sowie eine sachgerechte interne Segmentierung der Netze eine weitere Sicherheitsstufe. Um eine tiefere Infektion Ihrer Systeme zu verhindern, sollten Sie zudem über eine erhöhte Anforderung an die Passwortsicherheit mit Mehrfaktor Authentifierung (MFA) nachdenken. Ganz besonders für Administratoren und diejenigen, die über Remote-Zugangsrechte verfügen. Auch deren Anzahl sollten Sie nach Möglichkeit reduzieren. Regelmäßige und zeitnahe Updates aller Betriebssysteme, Server- und Anwendungssoftware erhöhen darüberhinaus die grundsätzliche Sicherheit der Systeme.