Deepfake

Deepfake – was ist real?

Digitale und analoge Welt verschwimmen zusehends. Mit der rasanten Weiterentwicklung von Künstlicher Intelligenz und maschinellem Lernen, werden die Informationen, die wir erhalten, immer komplexer. Dennoch stellen wir fest, dass das, ws uns Menschen sehr leicht fällt – wie etwa die Gesichtserkennung – der Künstlichen Intelligenz erst beigebracht werden muss. Dieses sog. Deep Learning ist ein sehr komplexer Vorgang . Vereinfacht gesagt zerlegt der Algorithmus die komplexen Strukturen des Objekts in einzelne hierarchisch strukturierte Konzepte. So “lernt” die Maschine, komplexe Strukturen zu erkennen und zu deuten. Und sogar – sie zu manipulieren. Dies macht den Übergang zwischen realen und Fake News fließend. So begegnen uns heute z. B. Bildmanipulationen in Form von Deepfake. Dieser Begriff ist an das Deep Learning angelehnt bezeichnet einen tiefgehenden Identitätsbetrug: Mithilfe modernster KI-gestützter Software ist es möglich, Bilder, Tonspuren und sogar ganze Videos zu fälschen. Täuschend echt.

Medienmanipulation durch Deepfake

Zunächst klingt es durchaus spannend und unterhaltsam, mit KI basierten Systemen neue Identitäten und Geschichten zu erzeugen. Ein bisschen wie Sims damals, nur viel realer und mit besserer Grafik. Im Internet finden sich einige Seiten, auf denen man frei erfundene Gesichter erzeugen kann. Warum ihnen nicht auch eine Geschichte verleihen? Gleichzeitig verschwimmen hier die Grenzen zwischen Realität und Lüge.

Gleichzeitig zeigt uns diese Form von künstlicher Intelligenz, wie leicht manipulierbar unsere Medien sind. Und wie schwierig es für uns ist, manipulierte Aufnahmen von echten zu unterscheiden. Das hat Einfluss auf unseren Umgang mit Medien. Denn, wenn wir nicht sicher sein wie, dass das uns gezeigte Bild tatsächlich echt ist, was sollen wir dann glauben? Welcher Teil der angebotenen Information ist echt, welcher möglicherweise geschickt gefälscht?

Je nach dem, wie wir eine Information bewerten, kann dies unsere Entscheidungen beeinflussen. Das beginnt bereits bei der Glaubhaftigkeit im privaten Umfeld, kann letztlich aber auch unsere politische Landschaft verändern.

Besonders im Bereich Cyberstalking gegenüber Privatpersonen und Prominenten hat Deepfake bereits Einzug erhalten. Durch geschickte Videomanipulation kann jedem , Privatperson oder Person des öffentlichen Lebens, eine alternative Geschichte zugeschrieben werden. In Form von Revenge Porn (“Rache-Porno”) finden sich gefälschte Inhalte, die Personen eine scheinbare Vergangenheit andichten – auch, wenn in Wahrheit ein Video mittels Deepfake manipuliert oder gar neu erfunden wurde. Dies schädigt am Ende nicht nur den Ruf, sondern auch die mentale Gesundheit der Betroffenen.

Social Engineering 2.0

Auch im Bereich Wirtschaftskriminalität finden sich durch Deepfake neue gefährliche Methoden. Bereits heute sind Social Engineering-Angriffe, die einen persönlichen Bezug zum Opfer haben, besonders erfolgreich. Zeitdruck, Leistungsdruck oder hierarchische Zwänge führen oft zur erfolgreichen Herausgabe von Identifikationsmerkmalen oder Interna. Doch wie viel erfolgreicher ist wohl ein CEO-Fraud, bei dem Voiceswapping (=Stimmenimitation mittels Deepfake) angewandt wird? Wenn also der vermeintliche CEO am Telefon tatsächlich wie der CEO klingt oder er gar in einer Videokonferenz auftritt. Eine Unterscheidung, ob es sich um ein gefälschtes oder echtes Telefonat handelt, lässt sich für Menschen dann nicht mehr nachvollziehen.

Das Ende biometrischer Anmeldedaten?

Letztlich hat die Entwicklung, dass prinzipiell jedes Bild, Video und jede Spracheaufnahme manipuliert werden kann, auch Auswirkungen auf die Möglichkeiten der Anmeldung mit biometrischen Daten. Denn: Wie sicher sind biometrische Anmeldungen via FaceID noch, wenn wirklich jeder ein Bild fälschen kann? Die Antwort ist dennoch beruhigend: Verglichen mit Passwörtern oder anderen zeichenbasierten Anmeldeverfahren ist eine biometrische Authentifizierung vergleichsweise sicher. Ein Restrisiko bleibt dennoch, weshalb man sich niemals auf lediglich eine einzige Authentfizierungsmethode verlassen sollte. Erst das Zusammenspiel von mindestens zwei Authentfizierungsverfahren macht einen Login sicher – privat wie beruflich.

Identitätssicherheit

3 Gründe für ein Investment in digitale Identitätssicherheit

Unsere Welt ist zunehmend digitalisiert und findet in vielen Bereichen nur noch online statt. Das gilt zunehmend auch für unseren Arbeitsalltag: Firmen sind dank Kommunikations- und Kollaborationstools in der Cloud vernetzt. Unsere Systeme wie CRM oder ERP wurden zur besseren Datenverfügbarkeit ebenfalls in die Cloud ausgelagert. Gleichzeitig stellen sich hier nun zunehmend Fragen nach der bestmöglichen Absicherung eben jener ausgelagerten Infrastruktur. Denn es hat sich gezeigt: VPN und Virenschutz allein reichen schon lange nicht mehr aus, um Ihre Unternehmens-IT zuverlässig vor einem Fremdzugriff zu schützen.

Daher sollten Sie – wenn nicht schon geschehen – unbedingt über ein sinnvolles Identity Management und eine tiefere Absicherung Ihrer Mitarbeiteridentitäten nachdenken. Das beinhaltet die Frage, wie sich Ihre Mitarbeiter digital ausweisen können, um sich so vor Missbrauch der eigenen Identität und deren Folgen zu schützen. Wir haben 3 wichtige Gründe zusammengetragen, warum Sie spätestens jetzt in digitale Identitätssicherheit in Ihrem Unternehmen investieren sollten.

Heute den Arbeitsplatz von morgen absichern

Die Zukunft ist digital – das heißt auch remote! Zwar hat es Remote Arbeit auch schon vor 2020 gegeben. Doch 2020 war ein Booster für eine schnellere Digitalisierung im Bereich Office-Anwendungen. „Digital-only“ gilt daher bereits heute für die Zusammenarbeit und Kommunikation. Trotz der Bedenken vieler Unternehmen sind die Mitarbeiter damit erstaunlich gut zurechtgekommen. Sie haben schnell gelernt, diese neuen Arbeitsweisen zu antizipieren und die Vorzüge für sich zu nutzen. Doch dies ist nur ein Teil der Medaille: Wenngleich die Einführung von Kommunikations- und Kollaborationstools großen Anklang gefunden hat, wurde doch oft die Sicherheit der Netzwerke und insbesondere die Absicherung der Mitarbeiteridentitäten vernachlässigt. Schnelle operative Handlungsfähigkeit zu erlangen war Priorität; Gedanken über IT-Sicherheit erfolgten, wenn überhaupt, erst im zweiten Schritt.

Dabei hat die Verlagerung des (Arbeits-)Lebens in die digitale Welt die perfekten Bedingungen für Cyberkriminalität geschaffen. Phishing und Social Engineering-Angriffe auf Unternehmen sind in Folge der Krisensituation gestiegen. Mit der Einführung eines zweiten Faktors zur Absicherung von Applikationen verhindern sie Identitätsmissbräuche. Denn nur, wer sich doppelt ausweisen kann – mit einem nur ihm bekannten 2. Faktor –, erhält letztlich Zugriff auf eine Datei oder ein System. Mit einem sinnvollen und zurückhaltenden Zugriffsmanagement stellt zudem sicher, dass nur diejenigen Mitarbeiter Zugriff auf sensible Bereiche Ihrer Unternehmens-IT haben, die diese auch wirklich benötigen.

Verbesserte Usability erhöht die Mitarbeiterzufriedenheit

Wir erwarten heute eine hohe Usability und eine durchgehend gleichbleibende User Experience bei unseren Anwendungen. Nicht mehr nur im privaten Umfeld, sondern auch bei den Applikationen, die wir im Arbeitsleben nutzen. Eine passwortlose Anmeldung erhöht die Produktivität und Akzeptanz Ihrer Mitarbeiter: Denn sie müssen sich keine Vielzahl an komplexen Passwörtern merken und können sich mit einem Klick an ihrem PC und in ihren Applikationen anmelden. Die Verbindung einer Multifaktor Authentifizierungslösung mit Single Sign-On-Funktionalität erlaubt einen schnellen, bequemen und unterbrechungsfreien Wechsel zwischen verschiedenen Anwendungen. Ohne Kompromisse beim Thema Sicherheit.

Vereinfachung Ihrer Compliance-Prozesse

Die zentrale Verwaltung von Nutzeridentitäten sowie die vereinfachte Anmeldung per Single Sign-On erhöhen langfristig die Produktivität und Effektivität Ihrer Mitarbeiter. Es fallen langwierige Prozesse zur (wiederholten) Anmeldung an Einzelapplikationen sowie der obligatorisch Passwortwechsel in bestimmten Zyklen weg. Auch für Ihre Administratoren wird das Leben leichter, denn sie können auf komplexe Passwortrichtlinien und die Kontrolle eben jener verzichten. Selbst ein einfaches, unsicheres Passwort ist durch MFA zu einem sicheren Login mit höchsten Sicherheitsanforderungen geworden.

Gleichzeitig führen Sie mit einem sinnvollen Identity and Access Management sowie einer sicheren Multifaktor Authentifizierungsmethode einen wichtigen Meilenstein zum Schutz Ihre Unternehmens-Compliance ein. Denn der Diebstahl von (Mitarbeiter-)Identitäten gefährdet Ihr Unternehmen tiefgehend: Durch die Kompromittierung Ihrer IT-Landschaft und dem möglicherweise damit verbundenen Datenverlust können Datenschutzklagen sowie Untersuchungen zur Unternehmens-Compliance folgen. Diese sind oftmals teurer als der tatsächlich entstandene Schaden durch Produktivitätsausfälle.

DDoS-Angriff auf Impfportal

DDoS-Angriff auf Impfportal

Ende Dezember hat in der Europäischen Union die Impfung gegen das COVID-19-Virus begonnen; nun wurde bekannt, dass es bereits im Dezember zu einer Cyberattacke auf das Impfportal der Kassenärztlichen Vereinigung Thüringen (KV) und des Thüringer Gesundheitsministeriums gekommen ist. Hierbei handelte es sich wohl um einen sogenannten DDoS (Distributed Denial of Service)-Angriff. Wie das Impfzentrum bekannt gab, wurden die Server durch eine hohe Anzahl von Anfragen überlastet und sind in Folge dessen zusammengebrochen. Das Buchen von Impfterminen über die Seite war daher zunächst nicht möglich.

Was ist ein DDoS-Angriff?

Bei dieser Form der Cyberattacke handelt es sich um den Versuch, einen Server, eine Website oder auch nur Teile einer Website lahmzulegen. Hierfür werden innerhalb kürzester Zeit unzählige (sinnlose) Anfragen an den jeweiligen Server gesendet. Wie viele Anfragen hierfür nötig sind, hängt jeweils von den Kapazitäten des Servers ab. In Thüringen waren etwa 158.000 Anfragen nötig.

Die Anfragen werden dabei meist von einer Mischung aus Bot-Netzen und Reflektoren gesendet. Bot-Netze sind infizierte Geräte, die durch eine aufgespielte Schadsoftware vom Hacker direkt gesteuert werden können. Diese „Zombie“-Computer senden dann irreführende Verbindungsanfragen an weitere Computer, die dann als Reflektoren bezeichnet werden. Diese Reflektoren müssen nicht zwangsläufig selbst infiziert sein. Denn hier nutzen Hacker die Eigenschaften unserer modernen Geräte aus, Anfragen auch „beantworten“ zu wollen. So gelingt es, ein vergleichsweise kleines Bot-Netz aufzubauschen und zudem die Spuren zu verwischen, da nun auch an sich unbeteiligte Geräte den Angriff unterstützen.

Wer ist das Ziel von DDoS-Angriffen?

Die gute Nachricht, wenn man so will, vorweg: Ziel solcher Angriffe sind keine Privatpersonen. Bei derartigen Angriffen geraten meist große Internetseiten und Meinungsmacher in den Fokus – jedoch auch, wie der aktuelle Fall zeigt, das Gesundheitswesen, Regierungen oder Banken. Also wichtige und kritische Infrastruktur. Daher ordnen einige Sicherheitsexperten DDoS-Angriffe in den Bereich der digitalen Kriegsführung ein, können sie doch kritische zivile Netzwerke lahmlegen und so der Gesellschaft schaden.

Wichtig ist jedoch, dass ein DDoS-Angriff nicht primär nur monetäre Ziele hat. Es geht hier oft um Protest gegen eine Seite, die nicht der eigenen politischen Meinung entspricht. Oder aber auch nur darum, zu beweisen, dass man die Fähigkeiten besitzt, derartige Hacks durchzuführen. Richtig kritisch werden diese Angriffe, wenn das primäre Ziel nicht das Lahmlegen der Seite ist, sondern im Hintergrund weitere Aktionen laufen. Die vordergründige Ablenkung erleichtert die Vertuschung eines schwerwiegenderen Hacks im Hintergrund. Sind kritische Infrastrukturen betroffen, kann auch eine Lösegeldforderung folgen, um den Server schnellstmöglich wieder freizugeben und hochzufahren.

Für den aktuellen Fall sind die Hintergründe der Tat jedoch nicht weiter bekannt.

Wie kann man sich vor einem DDoS-Angriff schützen?

Da man als Privatperson nicht primäres Ziel einer solchen Attacke ist, ist hier die ernüchternde Antwort: sehr wenig bis gar nichts. Ihr primäres Ziel sollte jedoch immer sein, Ihren PC bestmöglich vor dem Aufspielen von Schadsoftware zu schützen. Denn so können Sie zumindest verhindern, selbst Teil des Bot-Netzes zu werden. Aktualisieren Sie daher Ihre Virensoftware auf den von Ihnen genutzten Geräten immer zeitnah. Auch der Router spielt eine wichtige Rolle im Schutz Ihres Netzwerkes und sollte daher immer up to date sein. Gleiches gilt für Ihre Passwörter. Richten Sie, wo immer möglich, einen modernen Passwortschutz mit Multifaktorauthentifizierung ein. Ein Passwortmanager kann Ihnen dabei helfen, den Überblick über Ihre Passwörter zu behalten.

Als Webadministrator stehen Ihnen grundsätzlich Möglichkeiten zur Abwehr solcher Angriffe zur Verfügung. So können Sie, wenn Sie einen ungewöhnlichen Datenstrom rechtzeitig bemerken, diesen in ein „Black Hole“ (= ein nicht existierender Server) umleiten. Ein Bandbreitenmanagement-Tool sowie eine gute Virensoftware helfen Ihnen schon im Vorfeld, ggf. einfache DDoS-Angriffe abzuwehren. Als letzte Möglichkeit bleibt noch das Anmieten einer höheren Bandbreite, um die Aufrechterhaltung der Erreichbarkeit trotz hohen Traffics zu gewährleisten. Für Ihre Nutzer gilt dann leider nur: Abwarten, bis Ihr Service wieder verfügbar ist.

Mimikatz

Mimikatz – Süßer Name, gefährliches Offensive Security Tool

Das Windows-Sicherheitstool Mimikatz trägt zwar einen süßen Namen – jedoch auch ein großes Schadpotenzial in sich. Es wurde ursprünglich dazu entwickelt, die Sicherheitslücken von Windows-Systemen zu demonstrieren, da sich eine Lücke im Authentifizierungsprozess finden lässt. Schnell hat es sich jedoch von einem Tool für White-Hat-Hacker zu einem für Black-Hat-Hacker entwickelt. Dennoch nutzen auch heute noch Admins das Tool, um Sicherheitslücken im eigenen System zu erkennen und dann auch zu schließen. Daher ist Mimikatz heute eines der bekanntesten Offensive Security Tools (OST), das als open-source frei verfügbar ist.

Wie funktioniert Mimikatz?

Mithilfe von Mimikatz ist es möglich, Passwörter, PINS und Kerberos-Tickets von Windows-Systemen auszulesen, weshalb es oft auch von Malware-Angreifern genutzt wird. Hierbei nutzt Mimikatz die Windows Single-Sign-On-Funktion aus, die über das sog. „WDigest“-Feature verfügt. Mit dessen Hilfe werden verschlüsselte Passwörter sowie deren Key in den Speicher geladen. Insbesondere Unternehmen oder andere Organisationen nutzten dieses Feature, um Nutzergruppen zu authentifizieren. Zwar ist WDigest in Windows 10 standardmäßig deaktiviert, doch jeder mit Adminrechten kann es aktivieren. Und somit die Passwörter der Nutzergruppen mithilfe von Mimikatz auslesen.

So wird die Software zum leistungsstarken Tool für Hacker

Um Mimikatz erfolgreich in ein System einzuschleusen wird Root Access benötigt. Ist die Software einmal im System gibt es verschiedene Möglichkeiten, wie Mimikatz arbeiten kann:

Pass-the-hash – Beim Anmelden speicherte Windows in früheren Versionen Passwörter in einem sog. NTLM-Hash. Angreifer können daher Mimikatz nutzen, um diese exakte Hash-Zeichenfolge zu kopieren und an dem Zielcomputer zum Einloggen zu verwenden. Das Passwort muss hierfür nicht einmal bekannt sein, da diese Zeichenfolge als Authentifizierung ausreicht.

Pass-the-Ticket – Neuere Windows-Versionen verwenden keinen NTLM-Hash zur Authentifizierung mehr, sondern sog. Kerberos-Tickets. Dieses kann Mimikatz mittlerweile ebenfalls auslesen und an einen anderen Computer weitergeben, sodass man sich dort als dieser Nutzer anmelden kann.

Over-Pass the Hash (Pass-the-Key) – Mithilfe des auf diese Weise gewonnenen Schlüssels können sich Hacker als Benutzer ausgeben, die über einen Domainen-Controller abrufbar sind.

Kerberos Golden Ticket – Mit einem goldenen Ticket erhalten Sie Domänenadministrationsrechte für jeden Computer im Netzwerk. Perfide: Goldene Tickets laufen nicht ab.

Kerberos Silver Ticket – Kerberos übergibt einem Benutzer ein TGS-Ticket, das für die Anmeldung bei allen Diensten im Netzwerk verwendet wird. Dies ist möglich, da Windows TGS-Tickets nicht bei jeder Anmeldung überprüft.

Pass-the-Cache – Im Allgemeinen handelt es sich hierbei um dieselbe Taktik wie bei einem Pass-the-Ticket-Angriff. Jedoch wird hier kein Windows-System kompromittiert, sondern die gespeicherten und eingetragenen Anmeldedaten auf einem Mac- UNIX- oder Linux-System verwendet.

So schützen Sie Ihr System

Im Idealfall sollte Mimikatz gar nicht erst auf Ihr System zugreifen können. Voraussetzungen für ein zunächst sicheres Windows-System ist ein Upgrade auf Windows 10 (oder zumindest 8.1). Sollte dies nicht möglich sein, ist es zumindest ratsam, WDigest manuell zu deaktivieren, wobei dies wohl nur eine kleine Hürde für einen kundigen Angreifer sein sollte. Unabhängig von der verwendeten Windows-Version ist eine Konfiguration der Local Security Authority (LSA) absolut notwendig.

Leider ist ein übergreifendes Admin-Passwort in Unternehmen heute noch gängige Praxis, obwohl dies eine allseitsbekannte Sicherheitslücke darstellt. Jede Windows-Maschine benötigt nun mal ein eigenes, einzigartiges Administrator-Passwort. Die Kombination aus LSASS und abgesichertem Modus macht unter den neueren Windows-Versionen Mimikatz wirkungslos.

Daneben sollten Sie Ihre Mitarbeiter hinsichtlich der Gefahren durch Phishing-Mails aufklären und die Verwendung von Makros einschränken,

Mimikatz entdecken

Mimikatz zu entdecken, ist ein schwieriges Unterfangen, da die meisten Detection-Lösungen bei der Software nicht anschlagen. Die einzige wirkliche Lösung, um Mimikatz sicher zu identifizieren ist, das eigene System gezielt darauf zu untersuchen. Der Einsatz einer manuellen Netzwerk-Monitoring-Komponente ist daher absolut zu empfehlen.

Was also tun?

Letztlich bleibt, dass Mimikatz ein hochgefährliches und effizientes Tool für Hacker ist, das leicht an automatisierten Sicherheitsprüfungen vorbeischlüpfen kann. Daher ist hier der Mensch in der Pflicht, wachsam zu bleiben. Einfache Sicherheitsinstallationen wie einzigartige Admin-Passwörter für jede Maschine. Nur notwendige Admin- und Remotezugänge sowie Multifaktor-Authentifizierungen, die nicht mit der Logik der Windows-Systeme funktionieren, bilden eine starke Hürde.

Black Friday

Black Friday – wenn Cyberkriminelle Ihre Daten “shoppen”

Es ist Ende November und damit für die meisten von uns Schnäppchenzeit: Unter Bezeichnungen wie Black Friday, Black Week, Cyber Week, Cyber Friday – oder anderen kreativen Namen – locken Unternehmen uns Schnäppchenjäger jetzt im Kampf ums Vorweihnachtsgeschäft. Doch die Schnäppchen locken nicht nur uns als Konsumenten, sondern auch Cyberkriminelle. Und diese wiederum locken ihrerseits mit „Angeboten“ per E-Mail oder Online-Anzeigen, um uns so unbemerkt unsere Daten zu entlocken. Das britische National Cyber Security Centre (NCSC) hat anlässlich der Shopping-Week nun seine Warnung zur Achtsamkeit beim Online-Shopping erneuert. Ganz besonders im Kauf- und Schnäppchenrausch sollten Konsumenten darauf acht geben, wo sie shoppen und welche Daten sie dabei preisgeben.

Black Friday-Angebote via Phishing-Mails

Diese Achtsamkeit beginnt jedoch schon vor dem eigentlichen Shopping-Erlebnis. Denn unter der Flut an tatsächlichen Angebots-E-Mails von diversen Anbietern kann sich auch die ein oder andere Phishing-Mail verstecken. Natürlich möchten alle am Vorweihnachtsgeschäft teilhaben, doch sind diese Phishing-Mails darauf aus, Usernamen, Passwörter oder Kreditkarteninformationen zu erhalten – ganz ohne Gegenleistung natürlich. Sie sollten besser hellhörig werden, wenn Sie Angebote von Händlern erhalten, die sie nicht kennen. Oder wenn direkte Links zu Schnäppchenartikeln angeboten werden. Besser ist es in jedem Fall, die Seite des Händlers manuell ins Suchfeld einzugeben, um sicherzugehen, dass Sie auch wirklich auf der richtigen Homepage landen. Das Angebot wird dort schon zu finden sein, wenn es denn ein richtiges Angebot des Händlers ist. Denn oft genug gilt: Ist das Angebot zu gut, um wahr zu sein, dann ist es das wohl auch!

Mehr Informationen?! – Dann besser keine Informationen

Nichts spricht dagegen, auch kleinere und unbekannte Händler auszuprobieren und nicht immer beim gleichen bekannten multinationalen Anbieter einzukaufen. Doch es gibt ein paar Indizien, die helfen, seriöse Webseiten von unseriösen zu unterscheiden. So sollte der Bezahlvorgang übersichtlich gestaltet sein und keine persönlichen Informationen abgefragt werden, die nicht unbedingt notwendig sind. Zusätzliche Sicherheitsdetails wie ein Codewort oder eine Geheimfrage klingen zwar erst mal vertrauenserweckend – sind es aber ganz und gar nicht. Beim Bezahlvorgang sollten Sie wirklich nicht nach dem Mädchennamen Ihrer Mutter, Ihrem ersten Haustier oder dem Wohnort Ihres Bruders gefragt werden. Spätestens hier sollten Sie den Kauf-Vorgang abbrechen. Im Idealfall bevor Sie Ihre Bankverbindung preisgegeben haben.

Prüfen Sie die Sicherheit des Zahlungsvorgangs

Ganz anders als eine unnötige Sicherheitsabfrage ist die Frage nach einer Multi-Faktor-Authentifizierung zu werten. Eine Multi-Faktor-Authentifizierung dient dazu, Sie als Käufer auszuweisen. Ohne die Eingabe eines zweiten Faktors neben dem Passwort – meist handelt es sich um einen Code, der Ihnen per E-Mail oder SMS zugesendet wird – kann niemand eine Bestellung in Auftrag geben. Das sorgt schon einmal dafür, dass nur derjenige diesen Vorgang ausführen kann, der Zugang zu Ihrer Mailadresse bzw. Ihrem Smartphone hat. Nicht alle seriösen Online-Shops bieten diese jedoch an: Wenn Sie zumindest eine kleine Sicherheit haben wollen, dann checken Sie vor dem Eingeben Ihrer Daten die Adressleiste des Browsers. Befindet sich dort ein Vorhängeschloss-Symbol, dann bedeutet dies, dass die Verbindung zu dem Händler gesichert ist. Natürlich bedeutet dies nicht, dass der Händler selbst ein legitimer Händler ist, aber immerhin ist die Verbindung gesichert.

Und sollte der Shop die Speicherung Ihrer Bezahldaten anfragen, dann tun Sie dies nur, wenn Sie wirklich sicher sind, dass Sie dort ein weiteres Mal bestellen wollen. Ansonsten ist diese Angabe absolut unnötig. Und schafft einen weiteren Unsicherheitsfaktor.

Black(out) Friday und Amazon Phishing Day

Ein ähnliches Phänomen wie rund um den Black Friday findet sich auch am Amazon Prime Day: Auch hier nutzen Cyberkriminelle ein Event sowie die Schnäppchenlaune der Kunden rund um dieses aus, um an Passwörter, Kreditkartendaten und ähnliches zu kommen. Hierbei setzen sie bei ihren Phishing-Kampagnen auf einen möglichst ähnlichen Aufbau ihrer Fake-Amazon-Seite und nutzen dabei oft ähnliche Aktionen wie das “richtige” Amazon. Diese Aktionen sind besonders perfide, da auch die URLs dem Original möglichst nahekommen wollen und zumindest “amazon” auch im Namen haben. Oft ist die URL unnötig lang, sodass nicht auf den ersten Blick erkennbar ist, dass es sich um eine gänzlich andere Seite handelt, die zwar scheinbar zu Amazon gehört, aber letztlich ganz woanders gehostet wird.

Stutzig werden sollten Sie immer dann, wenn Sie kein Passwort bei Amazon eingeben sollen – jedoch andere persönliche Angaben bis hin zu Ihrer Kredit- oder Debitkartennummer. Sicherheitsexperten raten Ihnen daher dringend: Auch zu Sonderaktionen wie dem Amazon Prime Day oder dem Black Friday sollten Sie immer auf der eigentlichen Seite starten und niemals aus einem E-Mail-Link heraus. Sollte zudem etwas bei der Eingabe Ihrer Daten anders sein als sonst, handelt es sich womöglich um eine betrügerische Fake-Seite. Und achten Sie auf Details: Sieht die Seite so aus, wie Sie es gewohnt sind? Ist das Einkaufswagensymbol an derselben Stelle wie sonst? Sind alle Bilder scharf? Gelangen Sie mit einem Klick auf das Logo des Shops auf dessen Startseite? Ist eine durchgängige Navigation im Shop möglich? Ist die URL vollständig und logisch? Erst wenn diese Dinge alle stimmen, sollten Sie mit dem Bezahlvorgang anfangen.

IT-Sicherheit im Gesundheitswesen

Datenschutz und IT-Sicherheit im Gesundheitswesen

Die Digitalisierung unseres Gesundheitswesens schreitet massiv voran: Mittels der sog. Telematikinfrastruktur fördert der Bund die Vernetzung der medizinischen Einrichtungen. In Folge der Corona-Krise ist der Bedarf an Online-Kommunikation zwischen Arzt und Patienten gestiegen. Ergänzend zu diesen Entwicklungen wird im Januar 2021 die Elektronische Patientenakte eingeführt.

Bei einer derartigen Vernetzung unseres Gesundheitsswesens ist es Zeit, einen kritischen Blick auf die Sicherheit der Systeme und damit unserer Daten zu werfen. Denn wie wichtig für den Schutz von Patientenunterlagen die IT-Sicherheit ist, zeigen leider diejenigen Fälle, bei denen es Angreifern gelungen ist, in das System einer Einrichtung einzudringen, dieses lahmzulegen oder – im schlimmsten Fall – sogar Datensätze zu stehlen.

Über größere Angriffe auf Krankenhaus-IT weltweit wurde in der letzten Zeit auch vieles berichtet. Dabei sollte man jedoch nicht außer Acht lassen, dass nicht nur große medizinische Einrichtungen von Cyberattacken betroffen sein können. Es trifft auch kleine, selbstständige Praxen – ein solcher singulärer Angriff kann aus verschiedenen Gründen existenzbedrohend sein. Und auch für uns Verbraucher mit Risiken verbunden.

IT-Strukturen im Gesundheitswesen richtig absichern

Grundlagen sicherer IT-Systeme

Zunächst gilt für medizinische Einrichtungen mehr noch als für alle anderen, dass sie ihre IT-Infrastruktur sorgfältig auswählen und pflegen müssen. Ein aktuelles Betriebssystem mit allen relevanten Sicherheitsupdates, eine funktionierende Hardware-Firewall sowie ein aktuelles und intelligentes Anti-Virenprogramm sollten Standard sein. Hinzukommen sollten regelmäßige Sicherheitsupdates sowie am besten tägliche Back-ups, die nicht aus dem System bearbeitbar sind. So können Einrichtungen im Falle eines Ransomware-Angriffs schnell wieder einsatzbereit sein. Und der Datenverlust in den eigenen Systemen hält sich zumindest in Grenzen.

Doch auch Passwortsicherheit ist ein wichtiger Punkt, der allzu oft im Berufsalltag untergeht: Für viele niedergelassene Ärzte gilt es, einen Kompromiss zwischen Sicherheit und Praktikabilität zu finden. Insbesondere deshalb, weil Rechner am Empfang oder in Laboren möglicherweise von mehrern Personen benutzt werden. Dennoch sollten auch diese gemeinschaftlich genutzten Passwörter den Sicherheitsstandards entsprechen und regelmäßig erneuert werden. Wir raten auch dazu, eine praktikable Multi-Faktor-Authentifizierung einzuführen.

Da es sich um sensible Infrastruktur handelt, sollten auch klare Regelungen zur IT-Nutzung am Arbeitsplatz geschaffen werden: Dürfen private Mails gecheckt werden? Sind Online-Einkäufe oder sonstiges Surfverhalten erlaubt? Dürfen eigene Speichermedien mitgebracht und genutzt werden? Gibt es extra dafür sogar Geräte, die nicht an das Praxisnetz angebunden sind? Wichtig ist hierbei, die Aufmerksamkeit für mögliche Sicherheitslücken, die durch dieses Verhalten auftreten könnten, zu erhöhen. Mitarbeiterschulungen zum Thema IT-Sicherheit, Phishing oder Social Engineering sollten daher regelmäßig durchgeführt werden.

Cyberversicherungen können zudem die (finanziellen) Risiken, die nach einem erfolgten Angriff auftreten, minimieren. Oftmals sorgen gute Sicherheitskonzepte für eine Minimierung des Beitrags und allein der Zwang, sich mit dieser Thematik auseinanderzusetzen, schafft gute Voraussetzungen für eine tatsächliche Umsetzung der Pläne.

Erhöhte Sicherheit dank Telematikinfrastruktur (TI)?

Mit der großflächigen Einführung der Telematikinfrastruktur (TI) seit 2018 in deutschen Arztpraxen sollte die Sicherheit der Systeme zusätzlich erhöht werden. Über diesen sicheren Kanal sollten Patienteninformationen schnell und sicher zur Verfügung gestellt werden, um Behandlungskosten durch wiederholte Untersuchungen zu senken. Die Berichte häufen sich jedoch, dass die Anbindung an das Netz nicht so sicher ist wie angekündigt.

Welche Sicherheitslücken der TI werden beschrieben?

Trotz Zwang zum Anschluss an die TI ist insbesondere die Haftbarkeit bei Cyberangriffen – und somit bei datenschutzrechtlichen Fragen – nicht ausreichend geklärt. Der IT-Experte Jens Ernst von happycomputer hat bereits im vergangenen Jahr erhebliche Datenschutzmängel beim Anschluss an die Telematikinfrastruktur offengelegt.

Das beginnt schon bei der Art, wie der TI-Konnektor in das Netzwerk der Praxen eingebunden wird. Hier gibt es nämlich die Möglichkeit, zwischen einer seriellen und einer parallelen Einbindung zu wählen. Eine serielle Einbindung hat zwar zunächst einen höheren Installationsaufwand, bietet jedoch den Vorteil, dass alle Geräte der Praxis in das Sicherheitsnetzwerk des Bundes aufgenommen werden. Eine extra Absicherung seitens der Praxisinhaber sei nach Angabe der Gematik nicht notwendig. Eine parallele Einbindung hingegen setzt voraus, dass sich die Ärzte selbstständig um eine Sicherung ihrer vorhanden Systeme und Geräte bemühen. Dies macht eigentlich nur für größere Einheiten Sinn, die schon vorher viele Geräte in ihrem System eingebunden hatten.

Dennoch wurden anscheinend die meisten Betriebe im Parallelbetrieb angeschlossen. In diesem Fall müssten die Praxisinhaber nun selbst dafür sorgen, dass ihre eigenen Systeme gesichert werden. Viele geben jedoch an, nicht genügend von ihrem IT-Provider darüber aufgeklärt worden zu sein. Ernst beschreibt, dass selbst bei den wenigen Einrichtungen, die seriell angebunden wurden, Sicherungssysteme nicht korrekt funktionieren. Denn die Firewall des genutzten TI-Konnektors würde nicht ausreichen, um eine von ihm aufgespielte Anti-Viren-Test-Datei zu erkennen. Dies bedeutet, dass auch in diesem Fall ohne weitere Sicherheitsmaßnahmen keine Sicherheit vor dem Zugriff durch Dritte stattfindet. In den allermeisten Praxen gibt es somit – egal wie sie eingebunden sind – keine Hardware-Firewall. Daneben wurde oftmals der Virenschutz auf dem Rechner und die Software-Firewall, die jeder Rechner heute besitzt, abgeschaltet.

Wie kann das Gesundheitswesen die IT-Sicherheit gewährleisten?

Ernst fordert zu einem offenen Umgang mit dem Thema Cybersecurity auf, die im Grunde genommen auf drei Pfeilern steht:

  1. Eine Praxis benötigt eine höhere Sicherheitsstufe als nur einen Router, wie es aktuell oft Alltag ist.
  2. Sensible Daten sollten nicht über ein WLAN-Netz versendet werden. Das LAN-Netz des Konnektors sendet Daten unverschlüsselt; durch ein Eindringen ins WLAN ist ein “Mithören” möglich.
  3. Geräte, die aufgrund ihrer Bauweise nicht genügend geschützt werden können, sollten nicht verwendet oder in einer DMZ (Demilitarized Zone) betrieben werden.

Er schlägt darüberhinaus die Entwicklung einer DMZ vor, in die alle Systeme der TI eingeschlossen werden. Das ist aktuell noch nicht einmal der Fall bei der Telematikinfrastruktur selbst. Zudem bemängelt er, dass IT-Spezialisten zum Anschließen der TI kein gesondertes Zertifikat seitens der Gematik benötigen. Dies würde sicherstellen, dass nur geschultes Personal die Einrichtung durchführen darf und genügend Aufklärungsarbeit bei den haftenden Ärzten geleistet wird.

Zusammenfassend gibt Ernst an, dass die Sicherheit aller Systeme nur gewährleistet werden könne, wenn die allermeisten Praxen ihre Rechner komplett vom Netz nehmen würden. Sowohl die TI-Konnektoren als auch die eigenen Systeme würden keinerlei Schutz bieten, um Verbraucherdaten sicher zu verstauen.

Auch wir als Sicherheitsexperten sagen: Sicherheit sollte hier ganz klar der wichtigste Ausgangspunkt der Digitalisierung sein. Die Absicherung der Systeme muss gewährleistet sein, bevor eine Einrichtung angeschlossen wird.

Was denken Sie? Diskutieren Sie mit.

IT-Sicherheit im Gesundheitswesen

Viren im Krankenhaus – IT-Sicherheit während der Corona-Pandemie

Die Corona-Pandemie bringt Krankenhäuser und Pflegeeinrichtungen an ihre Belastungsgrenzen. Das betrifft auch die IT-Sicherheit vieler Einrichtungen. Laut Interpol wurde in den vergangenen Monaten eine steigende Anzahl von Angriffen auf das IT-Netzwerk von Krankenhäusern gemeldet.

Besonders in den USA warnt das FBI seit Oktober vor steigenden Cyberangriffen auf Kliniken und die daran angebundenen Dienstleister. Hier war es Ende Oktober gelungen, verschiedene Einrichtungen mit einer sog. Ransomware zu infizieren. Durch die Datenverschlüsselung war ein Normalbetrieb der Krankenhäuser nicht mehr möglich. Lesen Sie hier mehr.

Doch warum bieten gerade Krankenhäuser so gute Angriffsflächen für Cyberattacken?

IoT-Einführung trotz niedriger Sicherheitsstandards

Krankenhaus-IT ist insbesondere eines: historisch gewachsen. Und genau hier liegt das Problem, in doppelter Hinsicht. Historisch bedeutet, dass teilweise nicht alle Betriebssystem und Applikationsstrukturen wirklich auf dem neusten Stand der Technik sind. Oft fehlen wichtige Sicherheitsupdates oder -patches, um die Systeme zu schützen. Gleichzeitig wächst die technische Infrastruktur im Gesundheitswesen durch die Digitalisierung verschiedener Prozesse rasant.

Das betrifft medizinische Geräte, die über das IoT, aber oftmals auch mit dem Büro-Netzwerk kommunizieren können. Letzteres ist potenziell hoch-riskant, da bei einem Angriff auf Büro-Computer auch die IoT-Geräte im Hintergrund betroffen sind. Tragbare medizinische Geräte zur Fernüberwachung von Patienten, die Vitalwerte messen, könnten so unter Umständen ausfallen. Eine Cyberattacke wäre somit lebensbedrohlich für Patienten.

Daneben nutzen Kliniken auch im Bereich der Büro-IT Möglichkeiten zum weiteren digitalen Ausbau: Neue PCs, Tablets oder andere Smart Devices werden angeschafft, über die Patientendaten intern kommuniziert werden können. Diese Geräte sind aber möglicherweise gar nicht für den Einsatz in einer hochsensiblen Umgebung wie einer Klinik konzipiert und entsprechen weder datenschutzrechtlich noch hinsichtlich der IT-Sicherheit den Normen. Schwachstellen in deren Sicherheitssystemen sind somit auch ideale Ansatzpunkte, um die technische Infrastruktur zu kompromittieren.

Hinzu kommt, dass unter dem Sparzwang einiger Einrichtungen oftmals das Budget für eine ausreichende Sicherung der IT Systeme fehlt. Sie investieren zwar in neuste Technik, das Geld und Know-how für die entsprechende Absicherung fehlt jedoch. Und manchmal haben die Kliniken es auch selbst nicht in der Hand. Immer dann, wenn sie an Drittanbieter und deren Systeme angebunden sind. Denn selbst wenn die eigene IT sehr gute Sicherheitsstandards hat, ist dies nicht zwangsläufig auch für externe Anbieter richtig.

IT-Sicherheit – nicht nur eine Zeitfrage

Personal- und damit Zeitmangel sind leider Alltag im Bereich der medizinischen und Pflegeberufe. Oftmals fehlt für die eigentliche Arbeit die nötige Zeit – woher dann diese nehmen, sich obendrein noch mit IT Sicherheit zu befassen? Einfache Regeln wie einen Sperrbildschirm einzuschalten, sobald man den Platz verlässt, oder aber auch die genau Prüfung eines Absenders einer E-Mail, kennen sicherlich die meisten. Doch oft fehlt im Berufsalltag hier die nötige Zeit und/oder das nötige Bewusstsein für die damit verbundenen Gefahren. Mitarbeiterschulungen zum Thema IT-Sicherheit könnten hier Abhilfe schaffen – wenn sich Zeit und Budget fände.

Gesteigerte Aufmerksamkeit wäre aber durchaus sinnvoll. Krankenhäuser sind nun mal öffentliche Einrichtungen und daher an sich leicht zugänglich. Auch wenn die Maßnahmen in der Corona-Zeit Zutritte erschweren, so ist doch zumindest anzumerken, dass insbesondere der Empfang ein potenzielles IT-Sicherheitsrisiko birgt. In einem unbeaufsichtigten Moment könnte ein potenzieller Angreifer mittels einer über einen USB-Stick am Empfangs-PC aufgespielten Schadsoftware unbemerkt in die IT des Krankenhauses gelangen.

Hinzu kommt, dass moderne Krankenhäuser selbst als IT-Service-Provider fungieren. Patienten und Besuchern werden WLAN-Zugänge bereitgestellt. Sind die Systeme nicht losgelöst vom eigentlichen Betriebsnetzwerk, wird hier ein mögliches Einfallstor für Hacker offengelassen.

Erhöhung der Endpoint Security der vielfältigen Krankenhaus-IT-Landschaft

Sie sehen also: Krankenhäuser und andere medizinische Einrichtungen besitzen schon als Einheit eine vielfältige IT-Landschaft. Diese miteinander verwobenen Bereiche machen die gesamte IT verwundbar, sobald sich eine Schwachstelle zeigt. Aufgrund der Sensibilität und Kritikalität der Daten und der damit verbundenen Geräte und Handlungsabläufe bedürfen sie an sich sehr hoher Sicherheitsstandards. Die Endpoint Security von KRITIS-Einrichtungen zu erhöhen, sollte daher ein Anliegen sein.

Ein Mantra, das nicht nur wir immer wieder wiederholen, ist die aktive Schulung der Mitarbeiter, die als organisatorische Einheit zur Endpoint Security zählt: Aufklärung schafft ein Bewusstsein für mögliche Gefahrenquellen und wie diese zu verhindern sind. Auch ein gut eingerichteter Mail-Schutz ist für eine KRITIS-Einrichtung Pflicht.

Zudem sollte ein Internet-Zugang nur an denjenigen Geräten verfügbar sein, die diesen auch tatsächlich benötigen. RDP-Ports (Remote Desktop Protocol) sollten so abgesichert werden, dass ein Zugriff von außen nicht möglich ist. Und vor allem: Geschäftskritische Bereiche und das Besucher und Patienten-WLAN sollten keinesfalls aneinandergekoppelt sein!

Und – wir können das gar nicht oft genug wiederholen – aktivieren Sie eine Multi Faktor Authentifizierung (MFA) bei allen Anwendungen, die an geschäftskritische Netzwerke angeschlossen sind. Dies bietet eine hohe Hürde vor dem Eindringen unbefugter Dritter und vor allem vor der Kompromittierung der Systeme durch diese.

Schadsoftware

Schadsoftware – Was Sie wissen sollten

Die Digitalisierung ist längst in allen Bereichen unseres Lebens angekommen: Wir nutzen täglich privat Smartphones oder Smart Devices und geschäftlich Dienstlaptops und Arbeitsrechner. Aber auch die elektronischen Bezahlmöglichkeiten im Supermarkt doer den öffentlichen Schienenverkehr – oder kurz: Unser gesamtes öffentliches Leben ist digitalisiert. Diese Durchdringung all unserer Lebenswelten erleichtert uns unseren Alltag. Sie macht uns aber gleichzeitig auch durch Cyber-Angriffe verwundbar.

Daher muss es von Anfang an unser Ziel sein, unsere technische Infrastruktur so gut wie möglich vor Schadsoftware und anderen kriminellen Handlungen zu schützen.

Cyberkriminalität in Deutschland

Gefahrengebiet Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die IT-Sicherheit auf Bundesebene verantwortlich. In seinem kürzlich veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland 2020 stellt das BSI fest: Cyberkriminalität richtet sich gegen Privatpersonen sowie Firmen und Organisationen bzw. Institutionen. Häufig geht es bei derartigen Angriffen darum, personenbezogene Daten abzugreifen und aus den gewonnenen Informationen finanziellen Nutzen zu ziehen.

Eigenverantwortung des Users – der Faktor Mensch als größter Risikofaktor für Ihre IT-Sicherheit

Risiko

Die Pflege Ihrer Hard- und Software liegt bei Ihnen. Das bedeutet auch, dass Sie als User Ihr Handeln prüfen müssen: Denn neben fehlenden Softwareupdates ist die Interaktion mit schädlichen E-Mails oder Webseiten DIE Sicherheitslücke in Ihrem IT-System. Um ein Schadprogramm erfolgreich auf einem Gerät zu installieren, braucht es nämlich oft die (aktive) Mithilfe des Users. Etwa durch den unvorsichtigen Klick auf einen Link oder E-Mail-Anhang, der die Installation einleitet. Im schlimmsten Fall geschieht dies alles, ohne dass Sie als User etwas davon mitbekommt.

Zwei Begriffe, die uns bei Cyber-Attacken oft begegnen, sind Phishing und Social Engineering. Bei sog. Phishing-Mails handelt es sich um betrügerische E-Mails, die dazu dienen, den Empfänger zu selbstschädigenden Handlungen zu bewegen. Um dies zu erreichen, setzen die Angreifer auf Social Engineering-Techniken. Dies meint den Einsatz von psychologischen Tricks, wie etwa die Ausnutzung von Ängsten, Zwängen oder Notlagen, um entweder die direkte Herausgabe von Passwörtern und Zugangsdaten oder aber die Installation einer Schadsoftware durch Klicks zu erreichen.

Leider werden derartige E-Mails immer besser und können selbst von geschulten Usern nicht mehr unbedingt auf den ersten Blick als solche erkannt werden. Der unbekannt-verschollene, reiche Verwandte aus absurdesten Teilen der Welt wurde mittlerweile abgelöst von täuschend echt aussehenden z. B. PayPal-E-Mails, die gezielt die Passwörter und Kreditkartendaten der Nutzer ab-„fischen“ wollen.

Auch schlechte Grammatik und falsches Vokabular finden sich in modernem und gut gemachtem Malware-Spam kaum noch. Und – besonders perfide – auch ein https-Link ist laut BSI längst keine Garantie mehr für Sicherheit – in etwa 60 % des registrierten Malware-Spams in 2019/20 kommen bereits https-Links zum Einsatz. Zwar soll das Security-Zertifikat sichere Homepages ausweisen, doch kann man dieses kostenlos im Internet lizenzieren lassen. Unabhängig davon, ob der Inhalt tatsächlich für den Verbraucher sicher ist.

Diese Schadsoftware sollten Sie kennen

Code

Im vergangenen Jahr (Juni 2019 – Mai 2020) entstanden laut BSI zudem täglich durchschnittlich etwa 322.000 neue Schadprogramm-Varianten. Als Schadprogramme sind hierbei alle Programme anzusehen, die an sich schädlich sind oder aber andere Programme dazu befähigen können, Schaden anzurichten. Eine Variante entsteht durch die Weiterentwicklung bestehender Schadsoftware. Sie ist besonders am Anfang gefährlich, da Anti-Viren-Programme diese möglicherweise noch nicht als Gefahr erkennen können.

Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge ausnutzen.

Außerdem nutzt die Schadsoftware zum tieferen Eindringen in ein Unternehmensnetzwerk gezielt Schwächen bei Fernwartungs- und VPN-Zugängen aus. Ziele waren im letzten Untersuchungszeitraum laut BSI insbesondere Firmennetzwerke finanzstarker sowie mittelständischer Unternehmen. Hierunter fallen z. B. spezielle Zulieferer für die Automobilindustrie, die Finanz- und Gesundheitsbranche sowie die Flugindustrie.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert. Es lohnt sich durchaus, bereits präventive Pläne für mögliche Ransomware-Angriffsszenarien auszuarbeiten und zu testen.

Emotet – eine mehrstufige Schadsoftware von neuer Qualität

Ein gutes, aber gleichzeitig extrem schädliches Beispiel für die Weiterentwicklung bestehender Schadsoftware ist Emotet. Diese Software tritt laut BSI seit September 2019 wieder vermehrt auf und macht den Großteil der Schadsoftwareangriffe aus. Die Schadsoftware vereint verschiedene Angriffsstrategien in sich und ist in der aktuellen Ausprägung in der Lage, E-Mail-Inhalte auszulesen und mittels der gewonnenen Informationen weitere Spam-E-Mails zu generieren.

Dies ist besonders gefährlich und selbst für sensibilisierte Nutzer nicht unbedingt leicht zu erkennen, da die so generierten Spam-E-Mails von echten und bekannten Accounts kommen. Emotet setzt für die Erst- und Weiterinfektion via E-Mail auf fortschrittliche Social Engineering-Methoden. Einmal installiert erfolgt mithilfe der gewonnen Account-Daten eine Weiterinfektion anderer Mailaccounts durch das Schneeballsystem. Die Ausspähung des Mail-Account, auch Outlook-Harvesting genannt, ermöglicht dem Programm, täuschend-echt aussehende Antwortmails des Opfers an weitere Accounts zu schicken – und das meist ganz automatisiert.

Neben der Ausweitung des Infektionsnetzes, infiziert Emotet das System durch Nachladen weiterer Schadsoftware. Das BSI berichtet für das vergangene Jahr vor allem von Trickbot, einer Software, die in der Lage ist, das System auszuspionieren und zu sabotieren. Trickbot kann dabei bis in die Active Directory des Nutzers eindringen und im Domain Control Center alle Nutzerdaten und Administrationsrechte auslesen. Zudem ermöglicht Trickbot Angreifern den aktiven Zugriff auf das System, das Anlagen von neuen Administrationsrechten oder das Erstellen von Backdoors, mit deren Hilfe Informationen unerkannt auch über einen längeren Zeitraum an die Angreifer weiter geleitet werden können.

Im letzten Schritt nutzen Angreifer die gewonnenen Informationen gezielt dazu, auch manuell mittels einer Ransomware (meist Ryuk) auf das System zuzugreifen. Hier greifen dieselben Methoden, die auch bei einem klassischen Ransomware-Angriff genutzt werden.

So sorgen Sie Schadsoftware-Infektionen vor

Prävention

Ein erster wichtiger Schritt zur Prävention derartiger Angriffe sind gezielte Mitarbeiterschulungen. Etwa zu den Themen Phishing sowie Social Engineering, um sie für diese Themen zu sensibilisieren. Gleichzeitig gehören verbesserte Backup-Strukturen mit häufigeren und sog. Offline-Backups (d. h. Backups, die nicht aus dem Netzwerk heraus lösch- und änderbar sind) zu einem Vorsorgeplan gegen Cyber-, insbesondere Ransomware-Angriffe. Diese sorgen dafür, dass Sie im Worst Case wieder schnell einsatzfähig sind.

Zudem bilden die Reduzierung der von außen zugänglichen Systeme auf ein Minimum sowie eine sachgerechte interne Segmentierung der Netze eine weitere Sicherheitsstufe. Um eine tiefere Infektion Ihrer Systeme zu verhindern, sollten Sie zudem über eine erhöhte Anforderung an die Passwortsicherheit mit Mehrfaktor Authentifierung (MFA) nachdenken. Ganz besonders für Administratoren und diejenigen, die über Remote-Zugangsrechte verfügen. Auch deren Anzahl sollten Sie nach Möglichkeit reduzieren. Regelmäßige und zeitnahe Updates aller Betriebssysteme, Server- und Anwendungssoftware erhöhen darüberhinaus die grundsätzliche Sicherheit der Systeme.

Ransomware-Angriff auf US Krankenhäuser

Ransomware-Angriff auf amerikanische Krankenhäuser

Das FBI warnt seit Donnerstagnacht vor vermehrten Cyber-Angriffen auf verschiedene amerikanische Krankenhäuser. Die eingesetzte Schadsoftware Ryuk verschlüsselt die Daten der infizierten Systeme und erschwert somit den weiteren Betrieb der Krankenhäuser. Der Angriff auf systemrelevante Infrastruktur wie diese ist verbunden mit Lösegeldforderungen, um die sensiblen Daten schnellstmöglich wieder freizugeben. Die genaue Anzahl der betroffenen Krankenhäuser ist nicht bekannt, nur dass es sich um Krankenhäuser in den Bundesstaaten New York, Oregon und Minnesota handelt.

Die Datenverschlüsselung sorgt für erhebliche Verzögerungen im Klinik-Ablauf, da die betroffenen Kliniken einen Teil ihrer Patienten umleiten mussten, was die Wartezeiten für notwendige Behandlungen verzögert hat. Auch in Deutschland sind Kliniken immer wieder Opfer derartiger Cyberangriffe, die neben dem finanziellen Schaden auch für Patienten lebensbedrohlich sein können.

Ein größerer Ransomware-Angriff erfolgte etwa im Sommer 2019 auf zentrale Systeme der DRK-Trägergesellschaft Süd-West. Betroffen waren die angeschlossenen Kliniken in Rheinland-Pfalz und im Saarland, deren Versorgungsleistung sich verzögerte. Für die Patienten hatte dieser Vorfall nach Medienangaben glücklicherweise keine weiteren Auswirkungen. Eine Lösegeldzahlung wurde nicht vorgenommen, der Vorfall dauert vom 13. bis 26. Juli an. Als verwendete Software wurde Sodinokibi identifiziert, woraufhin ein Mobile Incident Response Team (MIRT) zur Ermittlung des Angriffshergangs sowie zur Wiederherstellung des arbeitsfähigen Zustandes eingesetzt wurde.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt die Einrichtung eines funktionierenden und eingeübten Notfallmanagements für derartige Ransomware-Angriffe. Für den Erfolg der Maßnahme war es entscheidend, dass zum einen die Krisenbehandlung im Krankenhaus funktioniert und die Patientenversorgung durch analoge Datenerfassung sichergestellt wird. Für die IT ist es relevant, das Problem einzugrenzen, die Ursache zu finden und die erforderlichen Maßnahmen auszuwählen.

Um solche Angriffe von vornherein zu vermeiden, empfiehlt sich zudem eine ausreichende Sensibilisierung der Mitarbeiter zum Thema Phishing und Social Engineering sowie verbesserte und striktere Regelungen zur Passwortsicherheit von Remote-Zugängen. Eine Multifaktor-Authentifizierung für administrative Handlungen ist zu empfehlen.

#Ransomware #MFA #Cybersecurity #Ryuk #Phishing #SocialEngineering

This site was seized

„This site was seized“ – „Diese Seite wurde beschlagnahmt“

Diese Meldung wurde den Besuchern angezeigt, die am Dienstagabend versucht hatten, auf die Wahlkampf-Homepage von Donald Trump zuzugreifen.

Der Aussage, dass die Seite beschlagnahmt wurde, folgten verschiedene unbelegte Anschuldigungen gegen die amerikanische Regierung und gegen Donald Trump selbst.  

Die mutmaßlichen Angreifer gaben weiter an, kompromittierende Informationen über Trump zu besitzen. Den Besucher eröffneten sie die Möglichkeit, gegen die Einzahlung einer Kryptowährung, darüber abstimmen, ob diese Informationen anschließend veröffentlicht werden sollten – oder nicht. Nach nur wenigen Minuten waren die Aussagen und Anschuldigungen allerdings wieder verschwunden und die Seite war wieder normal aufrufbar. 

Bereits Ende letzter Woche gab es mehrere Nachrichten, wonach ein Hacker das Passwort von Donald Trump’s Twitter Account erraten hätte. Dieses soll „maga2020!“ (make America great again 2020!) lauten. Besonders pikant: Twitter bietet zur Sicherung der Accounts eine Zwei-Faktor-Authentifizierung an. Diese hatte Trump nach Angaben des Hackers jedoch nicht aktiviert. Der Erfolg dieser Attacke wurde von Trump und seinen Mitarbeitern allerdings nicht bestätigt. 

Unabhängig von der Passwortstärke empfehlen wir: Nutzt solche Angebote wie MFA (Multiple Factor Authentication) zum Schutz eurer Accounts und eurer sensiblen Daten!  

#ITSecurity #MFA