Phishing

Die Folgen von Phishing-Attacken für Unternehmen

Phishing-Attacken auf Unternehmen nehmen zu. Man sollte daher meinen, dass dieser Begriff allen geläufig ist. Tatsächlich hat ein aktueller Report von Proofpoint gezeigt, dass sich viele Mitarbeiter nicht darüber bewusst sind, was Phishing eigentlich ist. Und sie daher auch nicht abschätzen können, wie sie davon betroffen sein könnten. Und in letzter Konsequenz: Wie sie sich vor solchen Angriffen schützen können.

Daher möchten wir zunächst den Begriff definieren, bevor wir darauf eingehen, welche Folgen dies für Unternehmen hat – und welche einfachen Tools bei der Prävention helfen.

Wo begegnet uns Phishing?

Phishing beschreibt den Vorgang, bei dem Betrüger mittels gefälschter E-Mails, Instant-Messages oder Websites versuchen, persönliche Daten abzugreifen. Eine Sonderform ist das sog. Vishing, bei dem dieser Betrugsvorgang über das Telefon durchgeführt wird.

Bei Privatpersonen geht es meist darum, direkt an Zahlungs- und Identitätsdaten oder Passwörter zu gelangen. Eine Variation ist der (hintergründige) Download von Malware – sei es in Form von Ransomware zur Erpressung von Lösegeld nach Datenverschlüsselung oder zur Bildung eines sog. Botnetzes. Dieses sorgt dafür, dass der PC ferngesteuert werden kann, wodurch er z. B. zum Ausgangspunkt einer weiteren Infektionswelle werden kann.

Im geschäftlichen Umfeld zielen Phishing-Attacken nicht unbedingt primär auf die betroffene Einzelperson. Häufig steht das Gesamtunternehmen im Zentrum solcher Angriffe. Auch wenn Unternehmen noch immer Schwächen in der technischen Absicherung haben, so zeigt sich am Phänomen Phishing, dass der Mensch das zerbrechlichste Glied in der Sicherheitskette ist. Denn dieser wird mittels Mailings oder Telefonkampagnen gezielt angesprochen, um ihm relevante Informationen zu entlocken. Mitarbeiter Awareness-Trainings zeigen dabei immer wieder, wie leichtfertig Mitarbeiter bei guten Social Engineering-Kampagnen Informationen weitergeben oder (dubiosen) Links folgen.

Für eine großangelegte Social Engineering-Kampagne gegen ein bestimmtes Unternehmen kann das Abgreifen von Nutzer- und Zugangsdaten durchaus ein erster Schritt sein. Oft gehen der eigentlichen Attacke jedoch Spionageversuche voraus: Täter ermitteln so mittels fingierter Mails und/oder Anrufe gezielt Verantwortliche für etwa die Finanz- oder IT-Abteilungen. Um somit den eigentlichen Angriff auf das Unternehmen am richtigen Punkt starten zu können. Diese gezielten Angriffe auf die obere Führungsebene ist oft erfolgreicher als eine ungezielte Attacke auf einzelne Mitarbeiter, da hier eine breite Informationsbasis vorhanden ist – aufgebaut über externe wie internen Quellen.

Mögliche Kampagnen auf Unternehmen

Unternehmen geraten schon aufgrund der lockenden Gewinne in den Fokus von Phishing-Angriffen. Besonders kleine und mittelständische Unternehmen sowie große Hidden Champions sind besonders oft im Visier von Betrügern. Denn aufgrund der geringeren Bekanntheit wiegen sie sich oft in falscher Sicherheit und vernachlässigen den Schutz ihrer Netzwerke und Systeme. Ein fataler Fehler – denn schwache Sicherheitssysteme und Zugangsbeschränkungen sowie fehlende Investition in Mitarbeiteraufklärung und -schulungen können sehr teuer werden.

Eine mittlerweile vermehrt anzutreffende Form an Social Engineering-Kampagnen ist der sog. CEO-Fraud oder auch Business Email Compromise genannt. Hierbei werden im Namen von Vorgesetzten bis hin zur obersten Führungsebene E-Mails an Mitarbeiter versendet, um so deren Daten abzugreifen. Gleichzeitig geraten aber auch insbesondere die Führungskräfte ins Ziel von Cyberkriminellen.

Neben derart zielgerichteten Kampagnen setzen Angreifer aber auch weiterhin auf klassische Methoden, wie gefälschte Links oder Anhänge zum vermeintlichen Download von business-relevanten Dokumenten. Besonders im Business-Umfeld, in dem ein Zwang zum Öffnen von Dateien oder Weiterverfolgen von Informationen herrscht, haben Angreifer ein leichtes Spiel, wenn sie auf relevante Themen setzen.

Die Folgen für Unternehmen

Ein erfolgreicher Phishing-Angriff kann für Unternehmen verschiedene große Problem mit sich führen. Wir haben Ihnen in der Grafik die häufigsten Folgen und Ursachen zusammengefasst.

Infografik-Phishing

Gut geschützt dank MFA und IAM

Im Umgang mit Phishing ist es unerlässlich, den Faktor Mensch besonders abzusichern. Denn die beste Firewall nützt ihnen nichts, wenn ein Mitarbeiter – am Telefon oder in einem gefälschten E-Mail-Link – Firmenintern oder Zugangsdaten preis gibt. Zumindest gegen letzteres können Sie sich und Ihr Unternehmen mittels sinnvollem Identity und Access Management sowie MFA (Multifaktor-Authentifizierung) absichern.

Ein Beispiel für eine solche Software ist etwa DoubleClue, die beides miteinander verbindet. Informieren Sie sich hier über alle Vorteile, den Sie durch den Einsatz von DoubleClue haben.

DDoS-Angriff auf Impfportal

DDoS-Angriff auf Impfportal

Ende Dezember hat in der Europäischen Union die Impfung gegen das COVID-19-Virus begonnen; nun wurde bekannt, dass es bereits im Dezember zu einer Cyberattacke auf das Impfportal der Kassenärztlichen Vereinigung Thüringen (KV) und des Thüringer Gesundheitsministeriums gekommen ist. Hierbei handelte es sich wohl um einen sogenannten DDoS (Distributed Denial of Service)-Angriff. Wie das Impfzentrum bekannt gab, wurden die Server durch eine hohe Anzahl von Anfragen überlastet und sind in Folge dessen zusammengebrochen. Das Buchen von Impfterminen über die Seite war daher zunächst nicht möglich.

Was ist ein DDoS-Angriff?

Bei dieser Form der Cyberattacke handelt es sich um den Versuch, einen Server, eine Website oder auch nur Teile einer Website lahmzulegen. Hierfür werden innerhalb kürzester Zeit unzählige (sinnlose) Anfragen an den jeweiligen Server gesendet. Wie viele Anfragen hierfür nötig sind, hängt jeweils von den Kapazitäten des Servers ab. In Thüringen waren etwa 158.000 Anfragen nötig.

Die Anfragen werden dabei meist von einer Mischung aus Bot-Netzen und Reflektoren gesendet. Bot-Netze sind infizierte Geräte, die durch eine aufgespielte Schadsoftware vom Hacker direkt gesteuert werden können. Diese „Zombie“-Computer senden dann irreführende Verbindungsanfragen an weitere Computer, die dann als Reflektoren bezeichnet werden. Diese Reflektoren müssen nicht zwangsläufig selbst infiziert sein. Denn hier nutzen Hacker die Eigenschaften unserer modernen Geräte aus, Anfragen auch „beantworten“ zu wollen. So gelingt es, ein vergleichsweise kleines Bot-Netz aufzubauschen und zudem die Spuren zu verwischen, da nun auch an sich unbeteiligte Geräte den Angriff unterstützen.

Wer ist das Ziel von DDoS-Angriffen?

Die gute Nachricht, wenn man so will, vorweg: Ziel solcher Angriffe sind keine Privatpersonen. Bei derartigen Angriffen geraten meist große Internetseiten und Meinungsmacher in den Fokus – jedoch auch, wie der aktuelle Fall zeigt, das Gesundheitswesen, Regierungen oder Banken. Also wichtige und kritische Infrastruktur. Daher ordnen einige Sicherheitsexperten DDoS-Angriffe in den Bereich der digitalen Kriegsführung ein, können sie doch kritische zivile Netzwerke lahmlegen und so der Gesellschaft schaden.

Wichtig ist jedoch, dass ein DDoS-Angriff nicht primär nur monetäre Ziele hat. Es geht hier oft um Protest gegen eine Seite, die nicht der eigenen politischen Meinung entspricht. Oder aber auch nur darum, zu beweisen, dass man die Fähigkeiten besitzt, derartige Hacks durchzuführen. Richtig kritisch werden diese Angriffe, wenn das primäre Ziel nicht das Lahmlegen der Seite ist, sondern im Hintergrund weitere Aktionen laufen. Die vordergründige Ablenkung erleichtert die Vertuschung eines schwerwiegenderen Hacks im Hintergrund. Sind kritische Infrastrukturen betroffen, kann auch eine Lösegeldforderung folgen, um den Server schnellstmöglich wieder freizugeben und hochzufahren.

Für den aktuellen Fall sind die Hintergründe der Tat jedoch nicht weiter bekannt.

Wie kann man sich vor einem DDoS-Angriff schützen?

Da man als Privatperson nicht primäres Ziel einer solchen Attacke ist, ist hier die ernüchternde Antwort: sehr wenig bis gar nichts. Ihr primäres Ziel sollte jedoch immer sein, Ihren PC bestmöglich vor dem Aufspielen von Schadsoftware zu schützen. Denn so können Sie zumindest verhindern, selbst Teil des Bot-Netzes zu werden. Aktualisieren Sie daher Ihre Virensoftware auf den von Ihnen genutzten Geräten immer zeitnah. Auch der Router spielt eine wichtige Rolle im Schutz Ihres Netzwerkes und sollte daher immer up to date sein. Gleiches gilt für Ihre Passwörter. Richten Sie, wo immer möglich, einen modernen Passwortschutz mit Multifaktorauthentifizierung ein. Ein Passwortmanager kann Ihnen dabei helfen, den Überblick über Ihre Passwörter zu behalten.

Als Webadministrator stehen Ihnen grundsätzlich Möglichkeiten zur Abwehr solcher Angriffe zur Verfügung. So können Sie, wenn Sie einen ungewöhnlichen Datenstrom rechtzeitig bemerken, diesen in ein „Black Hole“ (= ein nicht existierender Server) umleiten. Ein Bandbreitenmanagement-Tool sowie eine gute Virensoftware helfen Ihnen schon im Vorfeld, ggf. einfache DDoS-Angriffe abzuwehren. Als letzte Möglichkeit bleibt noch das Anmieten einer höheren Bandbreite, um die Aufrechterhaltung der Erreichbarkeit trotz hohen Traffics zu gewährleisten. Für Ihre Nutzer gilt dann leider nur: Abwarten, bis Ihr Service wieder verfügbar ist.

Mimikatz

Mimikatz – Süßer Name, gefährliches Offensive Security Tool

Das Windows-Sicherheitstool Mimikatz trägt zwar einen süßen Namen – jedoch auch ein großes Schadpotenzial in sich. Es wurde ursprünglich dazu entwickelt, die Sicherheitslücken von Windows-Systemen zu demonstrieren, da sich eine Lücke im Authentifizierungsprozess finden lässt. Schnell hat es sich jedoch von einem Tool für White-Hat-Hacker zu einem für Black-Hat-Hacker entwickelt. Dennoch nutzen auch heute noch Admins das Tool, um Sicherheitslücken im eigenen System zu erkennen und dann auch zu schließen. Daher ist Mimikatz heute eines der bekanntesten Offensive Security Tools (OST), das als open-source frei verfügbar ist.

Wie funktioniert Mimikatz?

Mithilfe von Mimikatz ist es möglich, Passwörter, PINS und Kerberos-Tickets von Windows-Systemen auszulesen, weshalb es oft auch von Malware-Angreifern genutzt wird. Hierbei nutzt Mimikatz die Windows Single-Sign-On-Funktion aus, die über das sog. „WDigest“-Feature verfügt. Mit dessen Hilfe werden verschlüsselte Passwörter sowie deren Key in den Speicher geladen. Insbesondere Unternehmen oder andere Organisationen nutzten dieses Feature, um Nutzergruppen zu authentifizieren. Zwar ist WDigest in Windows 10 standardmäßig deaktiviert, doch jeder mit Adminrechten kann es aktivieren. Und somit die Passwörter der Nutzergruppen mithilfe von Mimikatz auslesen.

So wird die Software zum leistungsstarken Tool für Hacker

Um Mimikatz erfolgreich in ein System einzuschleusen wird Root Access benötigt. Ist die Software einmal im System gibt es verschiedene Möglichkeiten, wie Mimikatz arbeiten kann:

Pass-the-hash – Beim Anmelden speicherte Windows in früheren Versionen Passwörter in einem sog. NTLM-Hash. Angreifer können daher Mimikatz nutzen, um diese exakte Hash-Zeichenfolge zu kopieren und an dem Zielcomputer zum Einloggen zu verwenden. Das Passwort muss hierfür nicht einmal bekannt sein, da diese Zeichenfolge als Authentifizierung ausreicht.

Pass-the-Ticket – Neuere Windows-Versionen verwenden keinen NTLM-Hash zur Authentifizierung mehr, sondern sog. Kerberos-Tickets. Dieses kann Mimikatz mittlerweile ebenfalls auslesen und an einen anderen Computer weitergeben, sodass man sich dort als dieser Nutzer anmelden kann.

Over-Pass the Hash (Pass-the-Key) – Mithilfe des auf diese Weise gewonnenen Schlüssels können sich Hacker als Benutzer ausgeben, die über einen Domainen-Controller abrufbar sind.

Kerberos Golden Ticket – Mit einem goldenen Ticket erhalten Sie Domänenadministrationsrechte für jeden Computer im Netzwerk. Perfide: Goldene Tickets laufen nicht ab.

Kerberos Silver Ticket – Kerberos übergibt einem Benutzer ein TGS-Ticket, das für die Anmeldung bei allen Diensten im Netzwerk verwendet wird. Dies ist möglich, da Windows TGS-Tickets nicht bei jeder Anmeldung überprüft.

Pass-the-Cache – Im Allgemeinen handelt es sich hierbei um dieselbe Taktik wie bei einem Pass-the-Ticket-Angriff. Jedoch wird hier kein Windows-System kompromittiert, sondern die gespeicherten und eingetragenen Anmeldedaten auf einem Mac- UNIX- oder Linux-System verwendet.

So schützen Sie Ihr System

Im Idealfall sollte Mimikatz gar nicht erst auf Ihr System zugreifen können. Voraussetzungen für ein zunächst sicheres Windows-System ist ein Upgrade auf Windows 10 (oder zumindest 8.1). Sollte dies nicht möglich sein, ist es zumindest ratsam, WDigest manuell zu deaktivieren, wobei dies wohl nur eine kleine Hürde für einen kundigen Angreifer sein sollte. Unabhängig von der verwendeten Windows-Version ist eine Konfiguration der Local Security Authority (LSA) absolut notwendig.

Leider ist ein übergreifendes Admin-Passwort in Unternehmen heute noch gängige Praxis, obwohl dies eine allseitsbekannte Sicherheitslücke darstellt. Jede Windows-Maschine benötigt nun mal ein eigenes, einzigartiges Administrator-Passwort. Die Kombination aus LSASS und abgesichertem Modus macht unter den neueren Windows-Versionen Mimikatz wirkungslos.

Daneben sollten Sie Ihre Mitarbeiter hinsichtlich der Gefahren durch Phishing-Mails aufklären und die Verwendung von Makros einschränken,

Mimikatz entdecken

Mimikatz zu entdecken, ist ein schwieriges Unterfangen, da die meisten Detection-Lösungen bei der Software nicht anschlagen. Die einzige wirkliche Lösung, um Mimikatz sicher zu identifizieren ist, das eigene System gezielt darauf zu untersuchen. Der Einsatz einer manuellen Netzwerk-Monitoring-Komponente ist daher absolut zu empfehlen.

Was also tun?

Letztlich bleibt, dass Mimikatz ein hochgefährliches und effizientes Tool für Hacker ist, das leicht an automatisierten Sicherheitsprüfungen vorbeischlüpfen kann. Daher ist hier der Mensch in der Pflicht, wachsam zu bleiben. Einfache Sicherheitsinstallationen wie einzigartige Admin-Passwörter für jede Maschine. Nur notwendige Admin- und Remotezugänge sowie Multifaktor-Authentifizierungen, die nicht mit der Logik der Windows-Systeme funktionieren, bilden eine starke Hürde.

IT-Sicherheit im Gesundheitswesen

Viren im Krankenhaus – IT-Sicherheit während der Corona-Pandemie

Die Corona-Pandemie bringt Krankenhäuser und Pflegeeinrichtungen an ihre Belastungsgrenzen. Das betrifft auch die IT-Sicherheit vieler Einrichtungen. Laut Interpol wurde in den vergangenen Monaten eine steigende Anzahl von Angriffen auf das IT-Netzwerk von Krankenhäusern gemeldet.

Besonders in den USA warnt das FBI seit Oktober vor steigenden Cyberangriffen auf Kliniken und die daran angebundenen Dienstleister. Hier war es Ende Oktober gelungen, verschiedene Einrichtungen mit einer sog. Ransomware zu infizieren. Durch die Datenverschlüsselung war ein Normalbetrieb der Krankenhäuser nicht mehr möglich. Lesen Sie hier mehr.

Doch warum bieten gerade Krankenhäuser so gute Angriffsflächen für Cyberattacken?

IoT-Einführung trotz niedriger Sicherheitsstandards

Krankenhaus-IT ist insbesondere eines: historisch gewachsen. Und genau hier liegt das Problem, in doppelter Hinsicht. Historisch bedeutet, dass teilweise nicht alle Betriebssystem und Applikationsstrukturen wirklich auf dem neusten Stand der Technik sind. Oft fehlen wichtige Sicherheitsupdates oder -patches, um die Systeme zu schützen. Gleichzeitig wächst die technische Infrastruktur im Gesundheitswesen durch die Digitalisierung verschiedener Prozesse rasant.

Das betrifft medizinische Geräte, die über das IoT, aber oftmals auch mit dem Büro-Netzwerk kommunizieren können. Letzteres ist potenziell hoch-riskant, da bei einem Angriff auf Büro-Computer auch die IoT-Geräte im Hintergrund betroffen sind. Tragbare medizinische Geräte zur Fernüberwachung von Patienten, die Vitalwerte messen, könnten so unter Umständen ausfallen. Eine Cyberattacke wäre somit lebensbedrohlich für Patienten.

Daneben nutzen Kliniken auch im Bereich der Büro-IT Möglichkeiten zum weiteren digitalen Ausbau: Neue PCs, Tablets oder andere Smart Devices werden angeschafft, über die Patientendaten intern kommuniziert werden können. Diese Geräte sind aber möglicherweise gar nicht für den Einsatz in einer hochsensiblen Umgebung wie einer Klinik konzipiert und entsprechen weder datenschutzrechtlich noch hinsichtlich der IT-Sicherheit den Normen. Schwachstellen in deren Sicherheitssystemen sind somit auch ideale Ansatzpunkte, um die technische Infrastruktur zu kompromittieren.

Hinzu kommt, dass unter dem Sparzwang einiger Einrichtungen oftmals das Budget für eine ausreichende Sicherung der IT Systeme fehlt. Sie investieren zwar in neuste Technik, das Geld und Know-how für die entsprechende Absicherung fehlt jedoch. Und manchmal haben die Kliniken es auch selbst nicht in der Hand. Immer dann, wenn sie an Drittanbieter und deren Systeme angebunden sind. Denn selbst wenn die eigene IT sehr gute Sicherheitsstandards hat, ist dies nicht zwangsläufig auch für externe Anbieter richtig.

IT-Sicherheit – nicht nur eine Zeitfrage

Personal- und damit Zeitmangel sind leider Alltag im Bereich der medizinischen und Pflegeberufe. Oftmals fehlt für die eigentliche Arbeit die nötige Zeit – woher dann diese nehmen, sich obendrein noch mit IT Sicherheit zu befassen? Einfache Regeln wie einen Sperrbildschirm einzuschalten, sobald man den Platz verlässt, oder aber auch die genau Prüfung eines Absenders einer E-Mail, kennen sicherlich die meisten. Doch oft fehlt im Berufsalltag hier die nötige Zeit und/oder das nötige Bewusstsein für die damit verbundenen Gefahren. Mitarbeiterschulungen zum Thema IT-Sicherheit könnten hier Abhilfe schaffen – wenn sich Zeit und Budget fände.

Gesteigerte Aufmerksamkeit wäre aber durchaus sinnvoll. Krankenhäuser sind nun mal öffentliche Einrichtungen und daher an sich leicht zugänglich. Auch wenn die Maßnahmen in der Corona-Zeit Zutritte erschweren, so ist doch zumindest anzumerken, dass insbesondere der Empfang ein potenzielles IT-Sicherheitsrisiko birgt. In einem unbeaufsichtigten Moment könnte ein potenzieller Angreifer mittels einer über einen USB-Stick am Empfangs-PC aufgespielten Schadsoftware unbemerkt in die IT des Krankenhauses gelangen.

Hinzu kommt, dass moderne Krankenhäuser selbst als IT-Service-Provider fungieren. Patienten und Besuchern werden WLAN-Zugänge bereitgestellt. Sind die Systeme nicht losgelöst vom eigentlichen Betriebsnetzwerk, wird hier ein mögliches Einfallstor für Hacker offengelassen.

Erhöhung der Endpoint Security der vielfältigen Krankenhaus-IT-Landschaft

Sie sehen also: Krankenhäuser und andere medizinische Einrichtungen besitzen schon als Einheit eine vielfältige IT-Landschaft. Diese miteinander verwobenen Bereiche machen die gesamte IT verwundbar, sobald sich eine Schwachstelle zeigt. Aufgrund der Sensibilität und Kritikalität der Daten und der damit verbundenen Geräte und Handlungsabläufe bedürfen sie an sich sehr hoher Sicherheitsstandards. Die Endpoint Security von KRITIS-Einrichtungen zu erhöhen, sollte daher ein Anliegen sein.

Ein Mantra, das nicht nur wir immer wieder wiederholen, ist die aktive Schulung der Mitarbeiter, die als organisatorische Einheit zur Endpoint Security zählt: Aufklärung schafft ein Bewusstsein für mögliche Gefahrenquellen und wie diese zu verhindern sind. Auch ein gut eingerichteter Mail-Schutz ist für eine KRITIS-Einrichtung Pflicht.

Zudem sollte ein Internet-Zugang nur an denjenigen Geräten verfügbar sein, die diesen auch tatsächlich benötigen. RDP-Ports (Remote Desktop Protocol) sollten so abgesichert werden, dass ein Zugriff von außen nicht möglich ist. Und vor allem: Geschäftskritische Bereiche und das Besucher und Patienten-WLAN sollten keinesfalls aneinandergekoppelt sein!

Und – wir können das gar nicht oft genug wiederholen – aktivieren Sie eine Multi Faktor Authentifizierung (MFA) bei allen Anwendungen, die an geschäftskritische Netzwerke angeschlossen sind. Dies bietet eine hohe Hürde vor dem Eindringen unbefugter Dritter und vor allem vor der Kompromittierung der Systeme durch diese.

Schadsoftware

Schadsoftware – Was Sie wissen sollten

Die Digitalisierung ist längst in allen Bereichen unseres Lebens angekommen: Wir nutzen täglich privat Smartphones oder Smart Devices und geschäftlich Dienstlaptops und Arbeitsrechner. Aber auch die elektronischen Bezahlmöglichkeiten im Supermarkt doer den öffentlichen Schienenverkehr – oder kurz: Unser gesamtes öffentliches Leben ist digitalisiert. Diese Durchdringung all unserer Lebenswelten erleichtert uns unseren Alltag. Sie macht uns aber gleichzeitig auch durch Cyber-Angriffe verwundbar.

Daher muss es von Anfang an unser Ziel sein, unsere technische Infrastruktur so gut wie möglich vor Schadsoftware und anderen kriminellen Handlungen zu schützen.

Cyberkriminalität in Deutschland

Gefahrengebiet Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die IT-Sicherheit auf Bundesebene verantwortlich. In seinem kürzlich veröffentlichten Lagebericht zur IT-Sicherheit in Deutschland 2020 stellt das BSI fest: Cyberkriminalität richtet sich gegen Privatpersonen sowie Firmen und Organisationen bzw. Institutionen. Häufig geht es bei derartigen Angriffen darum, personenbezogene Daten abzugreifen und aus den gewonnenen Informationen finanziellen Nutzen zu ziehen.

Eigenverantwortung des Users – der Faktor Mensch als größter Risikofaktor für Ihre IT-Sicherheit

Risiko

Die Pflege Ihrer Hard- und Software liegt bei Ihnen. Das bedeutet auch, dass Sie als User Ihr Handeln prüfen müssen: Denn neben fehlenden Softwareupdates ist die Interaktion mit schädlichen E-Mails oder Webseiten DIE Sicherheitslücke in Ihrem IT-System. Um ein Schadprogramm erfolgreich auf einem Gerät zu installieren, braucht es nämlich oft die (aktive) Mithilfe des Users. Etwa durch den unvorsichtigen Klick auf einen Link oder E-Mail-Anhang, der die Installation einleitet. Im schlimmsten Fall geschieht dies alles, ohne dass Sie als User etwas davon mitbekommt.

Zwei Begriffe, die uns bei Cyber-Attacken oft begegnen, sind Phishing und Social Engineering. Bei sog. Phishing-Mails handelt es sich um betrügerische E-Mails, die dazu dienen, den Empfänger zu selbstschädigenden Handlungen zu bewegen. Um dies zu erreichen, setzen die Angreifer auf Social Engineering-Techniken. Dies meint den Einsatz von psychologischen Tricks, wie etwa die Ausnutzung von Ängsten, Zwängen oder Notlagen, um entweder die direkte Herausgabe von Passwörtern und Zugangsdaten oder aber die Installation einer Schadsoftware durch Klicks zu erreichen.

Leider werden derartige E-Mails immer besser und können selbst von geschulten Usern nicht mehr unbedingt auf den ersten Blick als solche erkannt werden. Der unbekannt-verschollene, reiche Verwandte aus absurdesten Teilen der Welt wurde mittlerweile abgelöst von täuschend echt aussehenden z. B. PayPal-E-Mails, die gezielt die Passwörter und Kreditkartendaten der Nutzer ab-„fischen“ wollen.

Auch schlechte Grammatik und falsches Vokabular finden sich in modernem und gut gemachtem Malware-Spam kaum noch. Und – besonders perfide – auch ein https-Link ist laut BSI längst keine Garantie mehr für Sicherheit – in etwa 60 % des registrierten Malware-Spams in 2019/20 kommen bereits https-Links zum Einsatz. Zwar soll das Security-Zertifikat sichere Homepages ausweisen, doch kann man dieses kostenlos im Internet lizenzieren lassen. Unabhängig davon, ob der Inhalt tatsächlich für den Verbraucher sicher ist.

Diese Schadsoftware sollten Sie kennen

Code

Im vergangenen Jahr (Juni 2019 – Mai 2020) entstanden laut BSI zudem täglich durchschnittlich etwa 322.000 neue Schadprogramm-Varianten. Als Schadprogramme sind hierbei alle Programme anzusehen, die an sich schädlich sind oder aber andere Programme dazu befähigen können, Schaden anzurichten. Eine Variante entsteht durch die Weiterentwicklung bestehender Schadsoftware. Sie ist besonders am Anfang gefährlich, da Anti-Viren-Programme diese möglicherweise noch nicht als Gefahr erkennen können.

Ransomware

Bei Ransomware handelt es sich um Schadsoftware, die den Zugriff auf lokale Daten oder ein Netzwerk verhindert. Ziel ist dabei meist die Erpressung von Lösegeld („ransom money“), um die Daten wieder freizuschalten. Eine weitere Erpressungsmethode ist zudem die Drohung der sukzessiven Veröffentlichung von sensiblen Daten im Internet, sollte die Zahlung nicht erfolgen.

Die Verbreitung von Ransomware erfolgt meist über Links oder Anhänge in E-Mails, wobei die Verbreiter auf fortschrittliche Social Engineering-Methoden setzen und auch insbesondere berufliche Zwänge ausnutzen.

Außerdem nutzt die Schadsoftware zum tieferen Eindringen in ein Unternehmensnetzwerk gezielt Schwächen bei Fernwartungs- und VPN-Zugängen aus. Ziele waren im letzten Untersuchungszeitraum laut BSI insbesondere Firmennetzwerke finanzstarker sowie mittelständischer Unternehmen. Hierunter fallen z. B. spezielle Zulieferer für die Automobilindustrie, die Finanz- und Gesundheitsbranche sowie die Flugindustrie.

Die Schäden solcher Angriffe – sowohl finanziell als auch hinsichtlich der Reputation – sind enorm. Nur die wenigsten Unternehmen sind ausreichend gegen Ransomware-Angriffe gesichert. Es lohnt sich durchaus, bereits präventive Pläne für mögliche Ransomware-Angriffsszenarien auszuarbeiten und zu testen.

Emotet – eine mehrstufige Schadsoftware von neuer Qualität

Ein gutes, aber gleichzeitig extrem schädliches Beispiel für die Weiterentwicklung bestehender Schadsoftware ist Emotet. Diese Software tritt laut BSI seit September 2019 wieder vermehrt auf und macht den Großteil der Schadsoftwareangriffe aus. Die Schadsoftware vereint verschiedene Angriffsstrategien in sich und ist in der aktuellen Ausprägung in der Lage, E-Mail-Inhalte auszulesen und mittels der gewonnenen Informationen weitere Spam-E-Mails zu generieren.

Dies ist besonders gefährlich und selbst für sensibilisierte Nutzer nicht unbedingt leicht zu erkennen, da die so generierten Spam-E-Mails von echten und bekannten Accounts kommen. Emotet setzt für die Erst- und Weiterinfektion via E-Mail auf fortschrittliche Social Engineering-Methoden. Einmal installiert erfolgt mithilfe der gewonnen Account-Daten eine Weiterinfektion anderer Mailaccounts durch das Schneeballsystem. Die Ausspähung des Mail-Account, auch Outlook-Harvesting genannt, ermöglicht dem Programm, täuschend-echt aussehende Antwortmails des Opfers an weitere Accounts zu schicken – und das meist ganz automatisiert.

Neben der Ausweitung des Infektionsnetzes, infiziert Emotet das System durch Nachladen weiterer Schadsoftware. Das BSI berichtet für das vergangene Jahr vor allem von Trickbot, einer Software, die in der Lage ist, das System auszuspionieren und zu sabotieren. Trickbot kann dabei bis in die Active Directory des Nutzers eindringen und im Domain Control Center alle Nutzerdaten und Administrationsrechte auslesen. Zudem ermöglicht Trickbot Angreifern den aktiven Zugriff auf das System, das Anlagen von neuen Administrationsrechten oder das Erstellen von Backdoors, mit deren Hilfe Informationen unerkannt auch über einen längeren Zeitraum an die Angreifer weiter geleitet werden können.

Im letzten Schritt nutzen Angreifer die gewonnenen Informationen gezielt dazu, auch manuell mittels einer Ransomware (meist Ryuk) auf das System zuzugreifen. Hier greifen dieselben Methoden, die auch bei einem klassischen Ransomware-Angriff genutzt werden.

So sorgen Sie Schadsoftware-Infektionen vor

Prävention

Ein erster wichtiger Schritt zur Prävention derartiger Angriffe sind gezielte Mitarbeiterschulungen. Etwa zu den Themen Phishing sowie Social Engineering, um sie für diese Themen zu sensibilisieren. Gleichzeitig gehören verbesserte Backup-Strukturen mit häufigeren und sog. Offline-Backups (d. h. Backups, die nicht aus dem Netzwerk heraus lösch- und änderbar sind) zu einem Vorsorgeplan gegen Cyber-, insbesondere Ransomware-Angriffe. Diese sorgen dafür, dass Sie im Worst Case wieder schnell einsatzfähig sind.

Zudem bilden die Reduzierung der von außen zugänglichen Systeme auf ein Minimum sowie eine sachgerechte interne Segmentierung der Netze eine weitere Sicherheitsstufe. Um eine tiefere Infektion Ihrer Systeme zu verhindern, sollten Sie zudem über eine erhöhte Anforderung an die Passwortsicherheit mit Mehrfaktor Authentifierung (MFA) nachdenken. Ganz besonders für Administratoren und diejenigen, die über Remote-Zugangsrechte verfügen. Auch deren Anzahl sollten Sie nach Möglichkeit reduzieren. Regelmäßige und zeitnahe Updates aller Betriebssysteme, Server- und Anwendungssoftware erhöhen darüberhinaus die grundsätzliche Sicherheit der Systeme.

Ransomware-Angriff auf US Krankenhäuser

Ransomware-Angriff auf amerikanische Krankenhäuser

Das FBI warnt seit Donnerstagnacht vor vermehrten Cyber-Angriffen auf verschiedene amerikanische Krankenhäuser. Die eingesetzte Schadsoftware Ryuk verschlüsselt die Daten der infizierten Systeme und erschwert somit den weiteren Betrieb der Krankenhäuser. Der Angriff auf systemrelevante Infrastruktur wie diese ist verbunden mit Lösegeldforderungen, um die sensiblen Daten schnellstmöglich wieder freizugeben. Die genaue Anzahl der betroffenen Krankenhäuser ist nicht bekannt, nur dass es sich um Krankenhäuser in den Bundesstaaten New York, Oregon und Minnesota handelt.

Die Datenverschlüsselung sorgt für erhebliche Verzögerungen im Klinik-Ablauf, da die betroffenen Kliniken einen Teil ihrer Patienten umleiten mussten, was die Wartezeiten für notwendige Behandlungen verzögert hat. Auch in Deutschland sind Kliniken immer wieder Opfer derartiger Cyberangriffe, die neben dem finanziellen Schaden auch für Patienten lebensbedrohlich sein können.

Ein größerer Ransomware-Angriff erfolgte etwa im Sommer 2019 auf zentrale Systeme der DRK-Trägergesellschaft Süd-West. Betroffen waren die angeschlossenen Kliniken in Rheinland-Pfalz und im Saarland, deren Versorgungsleistung sich verzögerte. Für die Patienten hatte dieser Vorfall nach Medienangaben glücklicherweise keine weiteren Auswirkungen. Eine Lösegeldzahlung wurde nicht vorgenommen, der Vorfall dauert vom 13. bis 26. Juli an. Als verwendete Software wurde Sodinokibi identifiziert, woraufhin ein Mobile Incident Response Team (MIRT) zur Ermittlung des Angriffshergangs sowie zur Wiederherstellung des arbeitsfähigen Zustandes eingesetzt wurde.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt die Einrichtung eines funktionierenden und eingeübten Notfallmanagements für derartige Ransomware-Angriffe. Für den Erfolg der Maßnahme war es entscheidend, dass zum einen die Krisenbehandlung im Krankenhaus funktioniert und die Patientenversorgung durch analoge Datenerfassung sichergestellt wird. Für die IT ist es relevant, das Problem einzugrenzen, die Ursache zu finden und die erforderlichen Maßnahmen auszuwählen.

Um solche Angriffe von vornherein zu vermeiden, empfiehlt sich zudem eine ausreichende Sensibilisierung der Mitarbeiter zum Thema Phishing und Social Engineering sowie verbesserte und striktere Regelungen zur Passwortsicherheit von Remote-Zugängen. Eine Multifaktor-Authentifizierung für administrative Handlungen ist zu empfehlen.

#Ransomware #MFA #Cybersecurity #Ryuk #Phishing #SocialEngineering