Black Friday

Black Friday – wenn Cyberkriminelle Ihre Daten “shoppen”

Es ist Ende November und damit für die meisten von uns Schnäppchenzeit: Unter Bezeichnungen wie Black Friday, Black Week, Cyber Week, Cyber Friday – oder anderen kreativen Namen – locken Unternehmen uns Schnäppchenjäger jetzt im Kampf ums Vorweihnachtsgeschäft. Doch die Schnäppchen locken nicht nur uns als Konsumenten, sondern auch Cyberkriminelle. Und diese wiederum locken ihrerseits mit „Angeboten“ per E-Mail oder Online-Anzeigen, um uns so unbemerkt unsere Daten zu entlocken. Das britische National Cyber Security Centre (NCSC) hat anlässlich der Shopping-Week nun seine Warnung zur Achtsamkeit beim Online-Shopping erneuert. Ganz besonders im Kauf- und Schnäppchenrausch sollten Konsumenten darauf acht geben, wo sie shoppen und welche Daten sie dabei preisgeben.

Black Friday-Angebote via Phishing-Mails

Diese Achtsamkeit beginnt jedoch schon vor dem eigentlichen Shopping-Erlebnis. Denn unter der Flut an tatsächlichen Angebots-E-Mails von diversen Anbietern kann sich auch die ein oder andere Phishing-Mail verstecken. Natürlich möchten alle am Vorweihnachtsgeschäft teilhaben, doch sind diese Phishing-Mails darauf aus, Usernamen, Passwörter oder Kreditkarteninformationen zu erhalten – ganz ohne Gegenleistung natürlich. Sie sollten besser hellhörig werden, wenn Sie Angebote von Händlern erhalten, die sie nicht kennen. Oder wenn direkte Links zu Schnäppchenartikeln angeboten werden. Besser ist es in jedem Fall, die Seite des Händlers manuell ins Suchfeld einzugeben, um sicherzugehen, dass Sie auch wirklich auf der richtigen Homepage landen. Das Angebot wird dort schon zu finden sein, wenn es denn ein richtiges Angebot des Händlers ist. Denn oft genug gilt: Ist das Angebot zu gut, um wahr zu sein, dann ist es das wohl auch!

Mehr Informationen?! – Dann besser keine Informationen

Nichts spricht dagegen, auch kleinere und unbekannte Händler auszuprobieren und nicht immer beim gleichen bekannten multinationalen Anbieter einzukaufen. Doch es gibt ein paar Indizien, die helfen, seriöse Webseiten von unseriösen zu unterscheiden. So sollte der Bezahlvorgang übersichtlich gestaltet sein und keine persönlichen Informationen abgefragt werden, die nicht unbedingt notwendig sind. Zusätzliche Sicherheitsdetails wie ein Codewort oder eine Geheimfrage klingen zwar erst mal vertrauenserweckend – sind es aber ganz und gar nicht. Beim Bezahlvorgang sollten Sie wirklich nicht nach dem Mädchennamen Ihrer Mutter, Ihrem ersten Haustier oder dem Wohnort Ihres Bruders gefragt werden. Spätestens hier sollten Sie den Kauf-Vorgang abbrechen. Im Idealfall bevor Sie Ihre Bankverbindung preisgegeben haben.

Prüfen Sie die Sicherheit des Zahlungsvorgangs

Ganz anders als eine unnötige Sicherheitsabfrage ist die Frage nach einer Multi-Faktor-Authentifizierung zu werten. Eine Multi-Faktor-Authentifizierung dient dazu, Sie als Käufer auszuweisen. Ohne die Eingabe eines zweiten Faktors neben dem Passwort – meist handelt es sich um einen Code, der Ihnen per E-Mail oder SMS zugesendet wird – kann niemand eine Bestellung in Auftrag geben. Das sorgt schon einmal dafür, dass nur derjenige diesen Vorgang ausführen kann, der Zugang zu Ihrer Mailadresse bzw. Ihrem Smartphone hat. Nicht alle seriösen Online-Shops bieten diese jedoch an: Wenn Sie zumindest eine kleine Sicherheit haben wollen, dann checken Sie vor dem Eingeben Ihrer Daten die Adressleiste des Browsers. Befindet sich dort ein Vorhängeschloss-Symbol, dann bedeutet dies, dass die Verbindung zu dem Händler gesichert ist. Natürlich bedeutet dies nicht, dass der Händler selbst ein legitimer Händler ist, aber immerhin ist die Verbindung gesichert.

Und sollte der Shop die Speicherung Ihrer Bezahldaten anfragen, dann tun Sie dies nur, wenn Sie wirklich sicher sind, dass Sie dort ein weiteres Mal bestellen wollen. Ansonsten ist diese Angabe absolut unnötig. Und schafft einen weiteren Unsicherheitsfaktor.

Black(out) Friday und Amazon Phishing Day

Ein ähnliches Phänomen wie rund um den Black Friday findet sich auch am Amazon Prime Day: Auch hier nutzen Cyberkriminelle ein Event sowie die Schnäppchenlaune der Kunden rund um dieses aus, um an Passwörter, Kreditkartendaten und ähnliches zu kommen. Hierbei setzen sie bei ihren Phishing-Kampagnen auf einen möglichst ähnlichen Aufbau ihrer Fake-Amazon-Seite und nutzen dabei oft ähnliche Aktionen wie das “richtige” Amazon. Diese Aktionen sind besonders perfide, da auch die URLs dem Original möglichst nahekommen wollen und zumindest “amazon” auch im Namen haben. Oft ist die URL unnötig lang, sodass nicht auf den ersten Blick erkennbar ist, dass es sich um eine gänzlich andere Seite handelt, die zwar scheinbar zu Amazon gehört, aber letztlich ganz woanders gehostet wird.

Stutzig werden sollten Sie immer dann, wenn Sie kein Passwort bei Amazon eingeben sollen – jedoch andere persönliche Angaben bis hin zu Ihrer Kredit- oder Debitkartennummer. Sicherheitsexperten raten Ihnen daher dringend: Auch zu Sonderaktionen wie dem Amazon Prime Day oder dem Black Friday sollten Sie immer auf der eigentlichen Seite starten und niemals aus einem E-Mail-Link heraus. Sollte zudem etwas bei der Eingabe Ihrer Daten anders sein als sonst, handelt es sich womöglich um eine betrügerische Fake-Seite. Und achten Sie auf Details: Sieht die Seite so aus, wie Sie es gewohnt sind? Ist das Einkaufswagensymbol an derselben Stelle wie sonst? Sind alle Bilder scharf? Gelangen Sie mit einem Klick auf das Logo des Shops auf dessen Startseite? Ist eine durchgängige Navigation im Shop möglich? Ist die URL vollständig und logisch? Erst wenn diese Dinge alle stimmen, sollten Sie mit dem Bezahlvorgang anfangen.

IT-Sicherheit im Gesundheitswesen

Datenschutz und IT-Sicherheit im Gesundheitswesen

Die Digitalisierung unseres Gesundheitswesens schreitet massiv voran: Mittels der sog. Telematikinfrastruktur fördert der Bund die Vernetzung der medizinischen Einrichtungen. In Folge der Corona-Krise ist der Bedarf an Online-Kommunikation zwischen Arzt und Patienten gestiegen. Ergänzend zu diesen Entwicklungen wird im Januar 2021 die Elektronische Patientenakte eingeführt.

Bei einer derartigen Vernetzung unseres Gesundheitsswesens ist es Zeit, einen kritischen Blick auf die Sicherheit der Systeme und damit unserer Daten zu werfen. Denn wie wichtig für den Schutz von Patientenunterlagen die IT-Sicherheit ist, zeigen leider diejenigen Fälle, bei denen es Angreifern gelungen ist, in das System einer Einrichtung einzudringen, dieses lahmzulegen oder – im schlimmsten Fall – sogar Datensätze zu stehlen.

Über größere Angriffe auf Krankenhaus-IT weltweit wurde in der letzten Zeit auch vieles berichtet. Dabei sollte man jedoch nicht außer Acht lassen, dass nicht nur große medizinische Einrichtungen von Cyberattacken betroffen sein können. Es trifft auch kleine, selbstständige Praxen – ein solcher singulärer Angriff kann aus verschiedenen Gründen existenzbedrohend sein. Und auch für uns Verbraucher mit Risiken verbunden.

IT-Strukturen im Gesundheitswesen richtig absichern

Grundlagen sicherer IT-Systeme

Zunächst gilt für medizinische Einrichtungen mehr noch als für alle anderen, dass sie ihre IT-Infrastruktur sorgfältig auswählen und pflegen müssen. Ein aktuelles Betriebssystem mit allen relevanten Sicherheitsupdates, eine funktionierende Hardware-Firewall sowie ein aktuelles und intelligentes Anti-Virenprogramm sollten Standard sein. Hinzukommen sollten regelmäßige Sicherheitsupdates sowie am besten tägliche Back-ups, die nicht aus dem System bearbeitbar sind. So können Einrichtungen im Falle eines Ransomware-Angriffs schnell wieder einsatzbereit sein. Und der Datenverlust in den eigenen Systemen hält sich zumindest in Grenzen.

Doch auch Passwortsicherheit ist ein wichtiger Punkt, der allzu oft im Berufsalltag untergeht: Für viele niedergelassene Ärzte gilt es, einen Kompromiss zwischen Sicherheit und Praktikabilität zu finden. Insbesondere deshalb, weil Rechner am Empfang oder in Laboren möglicherweise von mehrern Personen benutzt werden. Dennoch sollten auch diese gemeinschaftlich genutzten Passwörter den Sicherheitsstandards entsprechen und regelmäßig erneuert werden. Wir raten auch dazu, eine praktikable Multi-Faktor-Authentifizierung einzuführen.

Da es sich um sensible Infrastruktur handelt, sollten auch klare Regelungen zur IT-Nutzung am Arbeitsplatz geschaffen werden: Dürfen private Mails gecheckt werden? Sind Online-Einkäufe oder sonstiges Surfverhalten erlaubt? Dürfen eigene Speichermedien mitgebracht und genutzt werden? Gibt es extra dafür sogar Geräte, die nicht an das Praxisnetz angebunden sind? Wichtig ist hierbei, die Aufmerksamkeit für mögliche Sicherheitslücken, die durch dieses Verhalten auftreten könnten, zu erhöhen. Mitarbeiterschulungen zum Thema IT-Sicherheit, Phishing oder Social Engineering sollten daher regelmäßig durchgeführt werden.

Cyberversicherungen können zudem die (finanziellen) Risiken, die nach einem erfolgten Angriff auftreten, minimieren. Oftmals sorgen gute Sicherheitskonzepte für eine Minimierung des Beitrags und allein der Zwang, sich mit dieser Thematik auseinanderzusetzen, schafft gute Voraussetzungen für eine tatsächliche Umsetzung der Pläne.

Erhöhte Sicherheit dank Telematikinfrastruktur (TI)?

Mit der großflächigen Einführung der Telematikinfrastruktur (TI) seit 2018 in deutschen Arztpraxen sollte die Sicherheit der Systeme zusätzlich erhöht werden. Über diesen sicheren Kanal sollten Patienteninformationen schnell und sicher zur Verfügung gestellt werden, um Behandlungskosten durch wiederholte Untersuchungen zu senken. Die Berichte häufen sich jedoch, dass die Anbindung an das Netz nicht so sicher ist wie angekündigt.

Welche Sicherheitslücken der TI werden beschrieben?

Trotz Zwang zum Anschluss an die TI ist insbesondere die Haftbarkeit bei Cyberangriffen – und somit bei datenschutzrechtlichen Fragen – nicht ausreichend geklärt. Der IT-Experte Jens Ernst von happycomputer hat bereits im vergangenen Jahr erhebliche Datenschutzmängel beim Anschluss an die Telematikinfrastruktur offengelegt.

Das beginnt schon bei der Art, wie der TI-Konnektor in das Netzwerk der Praxen eingebunden wird. Hier gibt es nämlich die Möglichkeit, zwischen einer seriellen und einer parallelen Einbindung zu wählen. Eine serielle Einbindung hat zwar zunächst einen höheren Installationsaufwand, bietet jedoch den Vorteil, dass alle Geräte der Praxis in das Sicherheitsnetzwerk des Bundes aufgenommen werden. Eine extra Absicherung seitens der Praxisinhaber sei nach Angabe der Gematik nicht notwendig. Eine parallele Einbindung hingegen setzt voraus, dass sich die Ärzte selbstständig um eine Sicherung ihrer vorhanden Systeme und Geräte bemühen. Dies macht eigentlich nur für größere Einheiten Sinn, die schon vorher viele Geräte in ihrem System eingebunden hatten.

Dennoch wurden anscheinend die meisten Betriebe im Parallelbetrieb angeschlossen. In diesem Fall müssten die Praxisinhaber nun selbst dafür sorgen, dass ihre eigenen Systeme gesichert werden. Viele geben jedoch an, nicht genügend von ihrem IT-Provider darüber aufgeklärt worden zu sein. Ernst beschreibt, dass selbst bei den wenigen Einrichtungen, die seriell angebunden wurden, Sicherungssysteme nicht korrekt funktionieren. Denn die Firewall des genutzten TI-Konnektors würde nicht ausreichen, um eine von ihm aufgespielte Anti-Viren-Test-Datei zu erkennen. Dies bedeutet, dass auch in diesem Fall ohne weitere Sicherheitsmaßnahmen keine Sicherheit vor dem Zugriff durch Dritte stattfindet. In den allermeisten Praxen gibt es somit – egal wie sie eingebunden sind – keine Hardware-Firewall. Daneben wurde oftmals der Virenschutz auf dem Rechner und die Software-Firewall, die jeder Rechner heute besitzt, abgeschaltet.

Wie kann das Gesundheitswesen die IT-Sicherheit gewährleisten?

Ernst fordert zu einem offenen Umgang mit dem Thema Cybersecurity auf, die im Grunde genommen auf drei Pfeilern steht:

  1. Eine Praxis benötigt eine höhere Sicherheitsstufe als nur einen Router, wie es aktuell oft Alltag ist.
  2. Sensible Daten sollten nicht über ein WLAN-Netz versendet werden. Das LAN-Netz des Konnektors sendet Daten unverschlüsselt; durch ein Eindringen ins WLAN ist ein “Mithören” möglich.
  3. Geräte, die aufgrund ihrer Bauweise nicht genügend geschützt werden können, sollten nicht verwendet oder in einer DMZ (Demilitarized Zone) betrieben werden.

Er schlägt darüberhinaus die Entwicklung einer DMZ vor, in die alle Systeme der TI eingeschlossen werden. Das ist aktuell noch nicht einmal der Fall bei der Telematikinfrastruktur selbst. Zudem bemängelt er, dass IT-Spezialisten zum Anschließen der TI kein gesondertes Zertifikat seitens der Gematik benötigen. Dies würde sicherstellen, dass nur geschultes Personal die Einrichtung durchführen darf und genügend Aufklärungsarbeit bei den haftenden Ärzten geleistet wird.

Zusammenfassend gibt Ernst an, dass die Sicherheit aller Systeme nur gewährleistet werden könne, wenn die allermeisten Praxen ihre Rechner komplett vom Netz nehmen würden. Sowohl die TI-Konnektoren als auch die eigenen Systeme würden keinerlei Schutz bieten, um Verbraucherdaten sicher zu verstauen.

Auch wir als Sicherheitsexperten sagen: Sicherheit sollte hier ganz klar der wichtigste Ausgangspunkt der Digitalisierung sein. Die Absicherung der Systeme muss gewährleistet sein, bevor eine Einrichtung angeschlossen wird.

Was denken Sie? Diskutieren Sie mit.

IT-Sicherheit im Krankenhaus

Viren im Krankenhaus – IT-Sicherheit während der Corona-Pandemie

Die Corona-Pandemie bringt Krankenhäuser und Pflegeeinrichtungen an ihre Belastungsgrenzen. Das betrifft auch die IT-Sicherheit vieler Einrichtungen. Laut Interpol wurde in den vergangenen Monaten eine steigende Anzahl von Angriffen auf das IT-Netzwerk von Krankenhäusern gemeldet.

Besonders in den USA warnt das FBI seit Oktober vor steigenden Cyberangriffen auf Kliniken und die daran angebundenen Dienstleister. Hier war es Ende Oktober gelungen, verschiedene Einrichtungen mit einer sog. Ransomware zu infizieren. Durch die Datenverschlüsselung war ein Normalbetrieb der Krankenhäuser nicht mehr möglich. Lesen Sie hier mehr.

Doch warum bieten gerade Krankenhäuser so gute Angriffsflächen für Cyberattacken?

IoT-Einführung trotz niedriger Sicherheitsstandards

Krankenhaus-IT ist insbesondere eines: historisch gewachsen. Und genau hier liegt das Problem, in doppelter Hinsicht. Historisch bedeutet, dass teilweise nicht alle Betriebssystem und Applikationsstrukturen wirklich auf dem neusten Stand der Technik sind. Oft fehlen wichtige Sicherheitsupdates oder -patches, um die Systeme zu schützen. Gleichzeitig wächst die technische Infrastruktur im Gesundheitswesen durch die Digitalisierung verschiedener Prozesse rasant.

Das betrifft medizinische Geräte, die über das IoT, aber oftmals auch mit dem Büro-Netzwerk kommunizieren können. Letzteres ist potenziell hoch-riskant, da bei einem Angriff auf Büro-Computer auch die IoT-Geräte im Hintergrund betroffen sind. Tragbare medizinische Geräte zur Fernüberwachung von Patienten, die Vitalwerte messen, könnten so unter Umständen ausfallen. Eine Cyberattacke wäre somit lebensbedrohlich für Patienten.

Daneben nutzen Kliniken auch im Bereich der Büro-IT Möglichkeiten zum weiteren digitalen Ausbau: Neue PCs, Tablets oder andere Smart Devices werden angeschafft, über die Patientendaten intern kommuniziert werden können. Diese Geräte sind aber möglicherweise gar nicht für den Einsatz in einer hochsensiblen Umgebung wie einer Klinik konzipiert und entsprechen weder datenschutzrechtlich noch hinsichtlich der IT-Sicherheit den Normen. Schwachstellen in deren Sicherheitssystemen sind somit auch ideale Ansatzpunkte, um die technische Infrastruktur zu kompromittieren.

Hinzu kommt, dass unter dem Sparzwang einiger Einrichtungen oftmals das Budget für eine ausreichende Sicherung der IT Systeme fehlt. Sie investieren zwar in neuste Technik, das Geld und Know-how für die entsprechende Absicherung fehlt jedoch. Und manchmal haben die Kliniken es auch selbst nicht in der Hand. Immer dann, wenn sie an Drittanbieter und deren Systeme angebunden sind. Denn selbst wenn die eigene IT sehr gute Sicherheitsstandards hat, ist dies nicht zwangsläufig auch für externe Anbieter richtig.

IT-Sicherheit – nicht nur eine Zeitfrage

Personal- und damit Zeitmangel sind leider Alltag im Bereich der medizinischen und Pflegeberufe. Oftmals fehlt für die eigentliche Arbeit die nötige Zeit – woher dann diese nehmen, sich obendrein noch mit IT Sicherheit zu befassen? Einfache Regeln wie einen Sperrbildschirm einzuschalten, sobald man den Platz verlässt, oder aber auch die genau Prüfung eines Absenders einer E-Mail, kennen sicherlich die meisten. Doch oft fehlt im Berufsalltag hier die nötige Zeit und/oder das nötige Bewusstsein für die damit verbundenen Gefahren. Mitarbeiterschulungen zum Thema IT-Sicherheit könnten hier Abhilfe schaffen – wenn sich Zeit und Budget fände.

Gesteigerte Aufmerksamkeit wäre aber durchaus sinnvoll. Krankenhäuser sind nun mal öffentliche Einrichtungen und daher an sich leicht zugänglich. Auch wenn die Maßnahmen in der Corona-Zeit Zutritte erschweren, so ist doch zumindest anzumerken, dass insbesondere der Empfang ein potenzielles IT-Sicherheitsrisiko birgt. In einem unbeaufsichtigten Moment könnte ein potenzieller Angreifer mittels einer über einen USB-Stick am Empfangs-PC aufgespielten Schadsoftware unbemerkt in die IT des Krankenhauses gelangen.

Hinzu kommt, dass moderne Krankenhäuser selbst als IT-Service-Provider fungieren. Patienten und Besuchern werden WLAN-Zugänge bereitgestellt. Sind die Systeme nicht losgelöst vom eigentlichen Betriebsnetzwerk, wird hier ein mögliches Einfallstor für Hacker offengelassen.

Erhöhung der Endpoint Security der vielfältigen Krankenhaus-IT-Landschaft

Sie sehen also: Krankenhäuser und andere medizinische Einrichtungen besitzen schon als Einheit eine vielfältige IT-Landschaft. Diese miteinander verwobenen Bereiche machen die gesamte IT verwundbar, sobald sich eine Schwachstelle zeigt. Aufgrund der Sensibilität und Kritikalität der Daten und der damit verbundenen Geräte und Handlungsabläufe bedürfen sie an sich sehr hoher Sicherheitsstandards. Die Endpoint Security von KRITIS-Einrichtungen zu erhöhen, sollte daher ein Anliegen sein.

Ein Mantra, das nicht nur wir immer wieder wiederholen, ist die aktive Schulung der Mitarbeiter, die als organisatorische Einheit zur Endpoint Security zählt: Aufklärung schafft ein Bewusstsein für mögliche Gefahrenquellen und wie diese zu verhindern sind. Auch ein gut eingerichteter Mail-Schutz ist für eine KRITIS-Einrichtung Pflicht.

Zudem sollte ein Internet-Zugang nur an denjenigen Geräten verfügbar sein, die diesen auch tatsächlich benötigen. RDP-Ports (Remote Desktop Protocol) sollten so abgesichert werden, dass ein Zugriff von außen nicht möglich ist. Und vor allem: Geschäftskritische Bereiche und das Besucher und Patienten-WLAN sollten keinesfalls aneinandergekoppelt sein!

Und – wir können das gar nicht oft genug wiederholen – aktivieren Sie eine Multi Faktor Authentifizierung (MFA) bei allen Anwendungen, die an geschäftskritische Netzwerke angeschlossen sind. Dies bietet eine hohe Hürde vor dem Eindringen unbefugter Dritter und vor allem vor der Kompromittierung der Systeme durch diese.

Homeoffice und IT-Sicherheit

Zurück ins Homeoffice – So bleibt Ihre IT trotzdem sicher

Seit dem weltweiten Ausbruch des neuartigen SARS-CoV2-Virus im März steht unsere Gesellschaft vor vielen Herausforderungen. Dies betrifft auch die Art und Weise, wie und besonders wo wir arbeiten. Viele Firmen sind in der Folge plötzlich und meist abrupt ins Homeoffice umgezogen. Laut Bitcom war fast jeder 2. Arbeitnehmer von dieser Entwicklung betroffen. Doch wie gut konnte die IT-Sicherheit im Homeoffice gewährleistet werden? Und besonders: Was konnten wir daraus für die aktuelle 2. Homeoffice-Welle lernen?

IT-Sicherheit oder reibungsloser Betriebsablauf im Homeoffice?

Das sollte keine Entscheidungsfrage sein, auch wenn die Realität gezeigt hat, dass dies durchaus so war.

Quasi über Nacht sind die Mitarbeiter – und damit auch die von ihnen genutzte IT – ins Homeoffice gegangen. Viele Firmen waren auf eine derartige Entwicklung nicht vorbereitet, galt das Homeoffice doch lange als keine Alternative zur Präsenzzeit vor Ort. Das bedeutet auch, dass deren IT-Strukturen gar nicht auf diese Situation ausgelegt waren. Oftmals hatte dann auch zunächst die geschäftskritische Infrastruktur beim Aufbau der remoten Arbeitslandschaft Priorität.

Die Verantwortung für die Sicherheit der eingesetzten Geräte wurde damit an die Mitarbeiter abgegeben. Oftmals fehlten jedoch schon die Grundlagen für die IT-Sicherheit, wie Schulungen oder die nötige Infrastruktur für die Arbeit aus der Ferne.

Eine Umfrage der Computerbild macht deutlich, dass darüber hinaus grundsätzliche Sicherheitsmaßnahmen nicht genutzt wurden: Fast zwei Drittel der Befragten gaben an, einen Passwortschutz der Rechner und installierte Virenschutzprogramme zu haben. Doch eine Trennung von privat und beruflich genutzen Geräten nannten nur noch knapp die Hälfte. Auch VPN-Verbindungen sowie Multi Faktor Authentifizierungen (MFA) wurde nur von etwa einem Drittel der Befragten genutzt.

Gleichzeitig hatten viele Unternehmen stark fragmentierte Sicherheitssysteme, die als Silos arbeiteten. Zumindest auf Führungsebene hat die Coronakrise durchaus ein Bewusstsein für neue vereinheitlichte Sicherheitssysteme geschaffen. Lösungen wären hier etwa Managed Security Services (MSS), die eine Sicherheitslösung für alle Geschäftsbereiche aus einer Hand anbieten. Es ist davon auszugehen, dass Kosten und Nutzen von Sicherheitslösungen in der nächsten Zeit neu bewertet werden. Und Unternehmen bereit sind, sich von alten Strukturen zugunsten einer erhöhten Sicherheit zu lösen.

Gefahr der IT-Sicherheit durch Cyberangriffe im Homeoffice

Gefahr durch Cyberangriffe

Dennoch gibt es eine gute Nachricht: Trotz oftmals schwacher Sicherheitsausstattung im Homeoffice hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst keinen erhöhten Anstieg von (erfolgreichen) Cyberangriffen auf Unternehmen festgestellt. Wobei der befürchtete Reputationsverlust auch dazu geführt haben könnte, dass Unternehmen derartige Angriffe nicht nach außen dringen lassen. Versuchte Angriffe also eher nicht gemeldet wurden und die Dunkelziffer somit deutlich höher liegen könnte.

Obwohl die Anzahl der Angriffe nicht zugenommen hat, haben sich doch die Themen geändert, mit denen Angreifer Firmen und deren Mitarbeiter angehen. Zwar setzt Malware-Spam von Haus aus mit Social Engineering-Methoden auf die Ängste und Sorgen von Menschen. Zentrale Themen waren in den vergangenen Monaten die neuen Unsicherheiten im Zusammenhang mit der Corona-Krise.

CEO-Fraud bzw. Business Email Compromise (BEC)

CEO-Fraud ist ebenfalls keine neue Erfindung, doch war diese Phishing-Taktik im Zusammenhang mit der Corona-Krise vermehrt zu beobachten. Das Vorgehen ist dabei immer gleich: Ein Mitarbeiter erhält eine (vermeintliche) E-Mail von einem Vorgesetzten. Mit der Bitte, eine Termineinladung über einen Link anzunehmen. Oder eine größere Geldsumme an ein bestimmtes Konto zu transferieren. Dringend!

Wenn Sie nicht sowieso in ständigem Kontakt mit Ihrem Vorgesetzten stehen, dann sollten Sie in jedem Fall hellhörig werden. Doch auch im ersten Fall gilt: Greifen Sie am besten erst mal zum Telefonhörer und lassen Sie sich die Sache nochmals bestätigen. Denn möglicherweise haben Angreifer die Identität Ihres Vorgesetzten angenommen – mithilfe von frei zugänglichen Daten im Internet sowie möglicherweise bereits vorheriger „Informationskampagnen“ bei internen Mitarbeitern. Letzteres gilt insbesondere dann, wenn Sie normalerweise kein direkter Ansprechpartner für die Führungsebene sind.

Prüfen Sie zudem nochmals die Absenderadresse: Oftmals findet hierbei nicht die Arbeits-E-Mail-Adresse Verwendung, sondern eine vermeintlich „private“ Ihres Arbeitgebers. Doch auch die offizielle Adresse ist nicht immer ein Grant für eine echte Mail. Möglicherweise wurde das Postfach Ihres Vorgesetzten bereits durch einen Angriff mittels einer Schadsoftware, z. B. Emotet übernommen. Mithilfe des sog. Outlook-Harvestings ist es den Angreifern nun gelungen, täuschend echt aussehende E-Mails an weitere Empfänger zu versenden.

Diese Maßnahmen sichern Ihre IT

IT-Sicherheit im Homeoffice

Sie sehen also: Neben der technischen Komponente muss auch der Faktor Mensch bei der Sicherung Ihrer IT-Systeme miteinbezogen werden.

Kurzfristige Maßnahmen wie die strikte Trennung von privaten und beruflichen Geräten sind hierbei schon mal ein guter Anfang für die aktuelle Lage. Langfristig benötigen Sie jedoch eine ganzheitliche Strategie, die bei der Wahl der eingesetzten technischen Lösungen anfängt. Dies betrifft VPN-Clients, Cloud Applikationen sowie Firewall und Anti-Virenprogramme. Im Idealfall gehen diese Bausteine Hand in Hand, sodass der Pflegeaufwand Ihrer IT-Infrastruktur zurückgeht.

Essenziell ist daneben, dass Sie sich der Bedeutung des Sicherheitsrisikos Mensch noch mehr bewusst werden – und aktiv Maßnahmen ergreifen. Dies beginnt mit Schulungen zum Thema Phishing, die nicht nur die Grundproblematik ins Auge nehmen, sondern auch technische Aspekte erklären. Erst dadurch kann ein Grundverständnis für die Gefahren solcher Attacken entstehen.

Gleichzeitig raten wir Ihnen dazu, eine verbesserte Passwort-Sicherheit in Ihrem Unternehmen einzuführen. Mittels Multifaktor Authentifizierung (MFA) müssen sich Nutzer beim Anmelden an verschiedenen Applikationen oder Geräten mehrfach ausweisen. Dies steigert die Sicherheit vor unbefugter Nutzung durch Dritte. Besonders wichtig ist eine MFA bei all denjenigen Mitarbeitern, die Administrationsrechte oder Remote-Zugriffsrechte auf Server und Geräte Dritter besitzen.

Gerne stehen wir Ihnen als Ansprechpartner für Ihre IT-Sicherheit zur Verfügung.

Sie haben Fragen oder Ergänzungen? Dann hinterlassen Sie uns einen Kommentar. Wir freuen uns auf Ihre Rückmeldung.

Schadsoftware

Schadsoftware – Was Sie wissen sollten

Die Digitalisierung ist längst in allen Bereichen unseres Lebens angekommen: Wir nutzen täglich privat Smartphones oder Smart Devices und geschäftlich Dienstlaptops und Arbeitsrechner. Aber auch die elektronischen Bezahlmöglichkeiten im Supermarkt doer den öffentlichen Schienenverkehr – oder kurz: Unser gesamtes öffentliches Leben ist digitalisiert. Diese Durchdringung all unserer Lebenswelten erleichtert uns unseren Alltag. Sie macht uns aber gleichzeitig auch durch Cyber-Angriffe verwundbar.

Daher muss es von Anfang an unser Ziel sein, unsere technische Infrastruktur so gut wie möglich vor Schadsoftware und anderen kriminellen Handlungen zu schützen.

Cyberkriminalität in Deutschland

Gefahrengebiet Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die IT-Sicherheit auf Bundesebene verantwortlich. In seinem kürzlich veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland 2020 stellt das BSI fest: Cyberkriminalität richtet sich gegen Privatpersonen sowie Firmen und Organisationen bzw. Institutionen. Häufig geht es bei derartigen Angriffen darum, personenbezogene Daten abzugreifen und aus den gewonnenen Informationen finanziellen Nutzen zu ziehen.

Eigenverantwortung des Users – der Faktor Mensch als größter Risikofaktor für Ihre IT-Sicherheit

Risiko

Die Pflege Ihrer Hard- und Software liegt bei Ihnen. Das bedeutet auch, dass Sie als User Ihr Handeln prüfen müssen: Denn neben fehlenden Softwareupdates ist die Interaktion mit schädlichen E-Mails oder Webseiten DIE Sicherheitslücke in Ihrem IT-System. Um ein Schadprogramm erfolgreich auf einem Gerät zu installieren, braucht es nämlich oft die (aktive) Mithilfe des Users. Etwa durch den unvorsichtigen Klick auf einen Link oder E-Mail-Anhang, der die Installation einleitet. Im schlimmsten Fall geschieht dies alles, ohne dass Sie als User etwas davon mitbekommt.

Zwei Begriffe, die uns bei Cyber-Attacken oft begegnen, sind Phishing und Social Engineering. Bei sog. Phishing-Mails handelt es sich um betrügerische E-Mails, die dazu dienen, den Empfänger zu selbstschädigenden Handlungen zu bewegen. Um dies zu erreichen, setzen die Angreifer auf Social Engineering-Techniken. Dies meint den Einsatz von psychologischen Tricks, wie etwa die Ausnutzung von Ängsten, Zwängen oder Notlagen, um entweder die direkte Herausgabe von Passwörtern und Zugangsdaten oder aber die Installation einer Schadsoftware durch Klicks zu erreichen.

Leider werden derartige E-Mails immer besser und können selbst von geschulten Usern nicht mehr unbedingt auf den ersten Blick als solche erkannt werden. Der unbekannt-verschollene, reiche Verwandte aus absurdesten Teilen der Welt wurde mittlerweile abgelöst von täuschend echt aussehenden z. B. PayPal-E-Mails, die gezielt die Passwörter und Kreditkartendaten der Nutzer ab-„fischen“ wollen.

Auch schlechte Grammatik und falsches Vokabular finden sich in modernem und gut gemachtem Malware-Spam kaum noch. Und – besonders perfide – auch ein https-Link ist laut BSI längst keine Garantie mehr für Sicherheit – in etwa 60 % des registrierten Malware-Spams in 2019/20 kommen bereits https-Links zum Einsatz. Zwar soll das Security-Zertifikat sichere Homepages ausweisen, doch kann man dieses kostenlos im Internet lizenzieren lassen. Unabhängig davon, ob der Inhalt tatsächlich für den Verbraucher sicher ist.

Diese Schadsoftware sollten Sie kennen

Code

Im vergangenen Jahr (Juni 2019 – Mai 2020) entstanden laut BSI zudem täglich durchschnittlich etwa 322.000 neue Schadprogramm-Varianten. Als Schadprogramme sind hierbei alle Programme anzusehen, die an sich schädlich sind oder aber andere Programme dazu befähigen können, Schaden anzurichten. Eine Variante entsteht durch die Weiterentwicklung bestehender Schadsoftware. Sie ist besonders am Anfang gefährlich, da Anti-Viren-Programme diese möglicherweise noch nicht als Gefahr erkennen können.

Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge ausnutzen.

Außerdem nutzt die Schadsoftware zum tieferen Eindringen in ein Unternehmensnetzwerk gezielt Schwächen bei Fernwartungs- und VPN-Zugängen aus. Ziele waren im letzten Untersuchungszeitraum laut BSI insbesondere Firmennetzwerke finanzstarker sowie mittelständischer Unternehmen. Hierunter fallen z. B. spezielle Zulieferer für die Automobilindustrie, die Finanz- und Gesundheitsbranche sowie die Flugindustrie.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert. Es lohnt sich durchaus, bereits präventive Pläne für mögliche Ransomware-Angriffsszenarien auszuarbeiten und zu testen.

Emotet – eine mehrstufige Schadsoftware von neuer Qualität

Ein gutes, aber gleichzeitig extrem schädliches Beispiel für die Weiterentwicklung bestehender Schadsoftware ist Emotet. Diese Software tritt laut BSI seit September 2019 wieder vermehrt auf und macht den Großteil der Schadsoftwareangriffe aus. Die Schadsoftware vereint verschiedene Angriffsstrategien in sich und ist in der aktuellen Ausprägung in der Lage, E-Mail-Inhalte auszulesen und mittels der gewonnenen Informationen weitere Spam-E-Mails zu generieren.

Dies ist besonders gefährlich und selbst für sensibilisierte Nutzer nicht unbedingt leicht zu erkennen, da die so generierten Spam-E-Mails von echten und bekannten Accounts kommen. Emotet setzt für die Erst- und Weiterinfektion via E-Mail auf fortschrittliche Social Engineering-Methoden. Einmal installiert erfolgt mithilfe der gewonnen Account-Daten eine Weiterinfektion anderer Mailaccounts durch das Schneeballsystem. Die Ausspähung des Mail-Account, auch Outlook-Harvesting genannt, ermöglicht dem Programm, täuschend-echt aussehende Antwortmails des Opfers an weitere Accounts zu schicken – und das meist ganz automatisiert.

Neben der Ausweitung des Infektionsnetzes, infiziert Emotet das System durch Nachladen weiterer Schadsoftware. Das BSI berichtet für das vergangene Jahr vor allem von Trickbot, einer Software, die in der Lage ist, das System auszuspionieren und zu sabotieren. Trickbot kann dabei bis in die Active Directory des Nutzers eindringen und im Domain Control Center alle Nutzerdaten und Administrationsrechte auslesen. Zudem ermöglicht Trickbot Angreifern den aktiven Zugriff auf das System, das Anlagen von neuen Administrationsrechten oder das Erstellen von Backdoors, mit deren Hilfe Informationen unerkannt auch über einen längeren Zeitraum an die Angreifer weiter geleitet werden können.

Im letzten Schritt nutzen Angreifer die gewonnenen Informationen gezielt dazu, auch manuell mittels einer Ransomware (meist Ryuk) auf das System zuzugreifen. Hier greifen dieselben Methoden, die auch bei einem klassischen Ransomware-Angriff genutzt werden.

So sorgen Sie Schadsoftware-Infektionen vor

Prävention

Ein erster wichtiger Schritt zur Prävention derartiger Angriffe sind gezielte Mitarbeiterschulungen. Etwa zu den Themen Phishing sowie Social Engineering, um sie für diese Themen zu sensibilisieren. Gleichzeitig gehören verbesserte Backup-Strukturen mit häufigeren und sog. Offline-Backups (d. h. Backups, die nicht aus dem Netzwerk heraus lösch- und änderbar sind) zu einem Vorsorgeplan gegen Cyber-, insbesondere Ransomware-Angriffe. Diese sorgen dafür, dass Sie im Worst Case wieder schnell einsatzfähig sind.

Zudem bilden die Reduzierung der von außen zugänglichen Systeme auf ein Minimum sowie eine sachgerechte interne Segmentierung der Netze eine weitere Sicherheitsstufe. Um eine tiefere Infektion Ihrer Systeme zu verhindern, sollten Sie zudem über eine erhöhte Anforderung an die Passwortsicherheit mit Mehrfaktor Authentifierung (MFA) nachdenken. Ganz besonders für Administratoren und diejenigen, die über Remote-Zugangsrechte verfügen. Auch deren Anzahl sollten Sie nach Möglichkeit reduzieren. Regelmäßige und zeitnahe Updates aller Betriebssysteme, Server- und Anwendungssoftware erhöhen darüberhinaus die grundsätzliche Sicherheit der Systeme.

Ransomware-Angriff auf US Krankenhäuser

Ransomware-Angriff auf amerikanische Krankenhäuser

Das FBI warnt seit Donnerstagnacht vor vermehrten Cyber-Angriffen auf verschiedene amerikanische Krankenhäuser. Die eingesetzte Schadsoftware Ryuk verschlüsselt die Daten der infizierten Systeme und erschwert somit den weiteren Betrieb der Krankenhäuser. Der Angriff auf systemrelevante Infrastruktur wie diese ist verbunden mit Lösegeldforderungen, um die sensiblen Daten schnellstmöglich wieder freizugeben. Die genaue Anzahl der betroffenen Krankenhäuser ist nicht bekannt, nur dass es sich um Krankenhäuser in den Bundesstaaten New York, Oregon und Minnesota handelt.

Die Datenverschlüsselung sorgt für erhebliche Verzögerungen im Klinik-Ablauf, da die betroffenen Kliniken einen Teil ihrer Patienten umleiten mussten, was die Wartezeiten für notwendige Behandlungen verzögert hat. Auch in Deutschland sind Kliniken immer wieder Opfer derartiger Cyberangriffe, die neben dem finanziellen Schaden auch für Patienten lebensbedrohlich sein können.

Ein größerer Ransomware-Angriff erfolgte etwa im Sommer 2019 auf zentrale Systeme der DRK-Trägergesellschaft Süd-West. Betroffen waren die angeschlossenen Kliniken in Rheinland-Pfalz und im Saarland, deren Versorgungsleistung sich verzögerte. Für die Patienten hatte dieser Vorfall nach Medienangaben glücklicherweise keine weiteren Auswirkungen. Eine Lösegeldzahlung wurde nicht vorgenommen, der Vorfall dauert vom 13. bis 26. Juli an. Als verwendete Software wurde Sodinokibi identifiziert, woraufhin ein Mobile Incident Response Team (MIRT) zur Ermittlung des Angriffshergangs sowie zur Wiederherstellung des arbeitsfähigen Zustandes eingesetzt wurde.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt die Einrichtung eines funktionierenden und eingeübten Notfallmanagements für derartige Ransomware-Angriffe. Für den Erfolg der Maßnahme war es entscheidend, dass zum einen die Krisenbehandlung im Krankenhaus funktioniert und die Patientenversorgung durch analoge Datenerfassung sichergestellt wird. Für die IT ist es relevant, das Problem einzugrenzen, die Ursache zu finden und die erforderlichen Maßnahmen auszuwählen.

Um solche Angriffe von vornherein zu vermeiden, empfiehlt sich zudem eine ausreichende Sensibilisierung der Mitarbeiter zum Thema Phishing und Social Engineering sowie verbesserte und striktere Regelungen zur Passwortsicherheit von Remote-Zugängen. Eine Multifaktor-Authentifizierung für administrative Handlungen ist zu empfehlen.

#Ransomware #MFA #Cybersecurity #Ryuk #Phishing #SocialEngineering

This site was seized

„This site was seized“ – „Diese Seite wurde beschlagnahmt“

Diese Meldung wurde den Besuchern angezeigt, die am Dienstagabend versucht hatten, auf die Wahlkampf-Homepage von Donald Trump zuzugreifen.

Der Aussage, dass die Seite beschlagnahmt wurde, folgten verschiedene unbelegte Anschuldigungen gegen die amerikanische Regierung und gegen Donald Trump selbst.  

Die mutmaßlichen Angreifer gaben weiter an, kompromittierende Informationen über Trump zu besitzen. Den Besucher eröffneten sie die Möglichkeit, gegen die Einzahlung einer Kryptowährung, darüber abstimmen, ob diese Informationen anschließend veröffentlicht werden sollten – oder nicht. Nach nur wenigen Minuten waren die Aussagen und Anschuldigungen allerdings wieder verschwunden und die Seite war wieder normal aufrufbar. 

Bereits Ende letzter Woche gab es mehrere Nachrichten, wonach ein Hacker das Passwort von Donald Trump’s Twitter Account erraten hätte. Dieses soll „maga2020!“ (make America great again 2020!) lauten. Besonders pikant: Twitter bietet zur Sicherung der Accounts eine Zwei-Faktor-Authentifizierung an. Diese hatte Trump nach Angaben des Hackers jedoch nicht aktiviert. Der Erfolg dieser Attacke wurde von Trump und seinen Mitarbeitern allerdings nicht bestätigt. 

Unabhängig von der Passwortstärke empfehlen wir: Nutzt solche Angebote wie MFA (Multiple Factor Authentication) zum Schutz eurer Accounts und eurer sensiblen Daten!  

#ITSecurity #MFA 

Neue Bundesagentur zur Stärkung der Cybersicherheit in Deutschland.

Die Ministerien für Inneres und für Verteidigung haben gemeinsam die „Agentur für Innovation in der Cybersicherheit“ gegründet, mit Sitz im Raum Halle/Leipzig. Ziel des Zusammenschlusses ist es nicht Cyberangriffe selbst auszuführen oder abzuwehren, sondern vielmehr einen Überblick über die wissenschaftliche Entwicklung rund um Cybersecurity zu generieren.

Verteidigungsministerin Annegret Kramp-Karrenbauer (CDU) spricht von einem „Meilenstein zum Schutz unserer IT-Systeme“.

Die Institution hat das Interesse mit den besten Köpfen des Bundes zu interagieren. So möchte Christoph Igel, ihr erster Forschungsdirektor, mit den 360 Hochschulen in Deutschland zusammenarbeiten.

Der richtige Weg in die Bekämpfung der Cyberkriminalität? Wir freuen uns auf eure Kommentare.

#ITsecurity

Hacker verschaffen sich Zugriff zu den Systemen verschiedener Schweizer Hochschulen

Angreifer haben durch gezielt versendete Phishing Mails Zugang in das Netzwerk der Universitäten und konnten so Lohnzahlungen in insgesamt sechsstelliger Höhe abzweigen. Mitarbeiter der Unis wurden in den E-Mails zur Eingabe ihrer Zugangsdaten aufgefordert, dadurch konnten die Angreifer Empfängerkonten für Gehaltszahlungen ändern.

Laut Sonntagszeitung sind unter anderem die Universität Basel sowie die Universität Zürich betroffen. Beide Hochschulen konnten die Angriffe frühzeitig aufdecken und hielten den entstandenen Schaden somit sehr niedrig.

Ein erfolgreicher Angriff wird häufig erst nach 200 Tagen erkannt. In diesen 200 Tagen können die Angreifer oft schon auf alle Systeme und Daten zugreifen und einen großen Schaden anrichten.

Schützt eure IT Infrastruktur mit einer ausgeklügelten Security-Strategie! Beginnend mit der Einführung von Schulungen der Mitarbeiter, um auf Cyberattacken aufmerksam zu machen, bis zur Implementierung von komplexen Lösungen wie ISMS-Tools, IAM Tools oder Multifaktorauthentifizierung.

We are taking part in the European Cyber Security Month!

What is the ECSM? Basically this is an initiative supported by the European Commission and many other organizations like BSI to raise awareness for cyber security in the industry as well as for citizens. During the whole month of October many IT security experts contribute with presentations, special offerings and campaigns to highlight the importance of digital safety and speak about threats and trends in IT security.

We also decided to share our knowledge in the area of securing the human factor against cyber attacks and will inform about attacks on digital identities including consequences of a successful hack and give some ideas for prevention.

Ever wondered what social engineering is or how phishing works and what´s actually behind these buzzwords? How do attackers manipulate users and trick them into sharing their credentials, “open a (digital) door” to the company network or make them assist in a fraud? We will give a basic intro to that and are looking forward to your participation!

Time: 9th of October at 11 am (CET), duration: 45 minutes

Registration: https://doubleclue.com/en/registration-ecsm/

(Of course it´s completely free)

 

#ECSM #security #cyberattack