Mit dem russischen Einmarsch in die Ukraine und den von westlichen Ländern gegen Russland verhängten Sanktionen gehen Sicherheitsforscher davon aus, dass künftig Cyberangriffe auf US-amerikanische und westeuropäische Unternehmen und Institutionen als Vergeltung stattfinden. Nachfolgend einige aus verschiedenen Quellen zusammengetragenen Informationen, was man zum Schutz der IT jetzt tun kann.
Anzeige
In den letzten Monaten haben Cyberangriffe ja sprunghaft zugenommen. Das reicht von Ransomware-Angriffen von Cyberkriminellen bis hin zu Cyberangriffen, die mutmaßlich staatlichen Akteuren oder staatsnahen Hackern zugeschrieben werden. Die Ukraine steht im Zusammenhang mit dem russischen Einmarsch seit Wochen im Fokus solcher Cyberangriffe.
Unternehmen sollen von Kompromittierung ausgehen
Bei der Analyse diverse Sicherheitsvorfälle der Vergangenheit stellte sich heraus, dass die Akteure bereits Wochen oder Monate vor bekannt werden einer Sicherheitslücke oder Angriffswelle in den IT-Systemen eingedrungen waren. Der Sicherheitsanbieter Vectra AI fordert eine Veränderung der Sicherheitsmentalität und rät Unternehmen, im Hinblick auf Sicherheitserwägungen von einer Kompromittierung ihrer IT-Systeme ausgehen.
Denn die zunehmende Zahl aufsehenerregender Cyberangriffe im Jahr 2021 zeigt, wie anfällig ein präventives Sicherheitskonzept ist. Bei dem Angriff auf Colonial Pipeline reichten gestohlene Zugangsdaten für ein VPN-Konto, um das Netzwerk zu kompromittieren. Unabhängig davon, wie viele präventive Kontrollen eingerichtet sind, genügt ein einziger Fehler, um diese unwirksam zu machen.
Präventive Kontrollen nicht überflüssig aber nicht ausreichend
Eine gute Sicherheitshygiene seit laut Vectra AI nach wie vor äußerst wichtig, und präventive Kontrollen seien nicht überflüssig. Der Punkt ist, dass es möglich ist, im Kontext einer komplexen IT-Umgebung etwas zu übersehen. Präventive Sicherheitskontrollen versagen nicht nur regelmäßig, sondern beeinträchtigen auch den Geschäftsbetrieb, wenn man sich zu sehr auf sie verlässt, wie Vectra AI berichtet. Da Unternehmen immer mehr Einzellösungen zur Vorbeugung verschiedener Sicherheitsbedrohungen einsetzen, wird es immer schwieriger, ein Gleichgewicht zwischen Sicherheit und Geschäftsmöglichkeiten zu finden. Je mehr unterschiedliche, schlecht integrierte Sicherheitstools sich in der Umgebung befinden, desto schwieriger wird es, den regulären Geschäftsbetrieb und die Produktivität der Benutzer zu unterstützen.
Anzeige
Hat ein Unternehmen keine Alternative zur präventiven Sicherheit, führen Netzwerkinfiltrationen in der Regel zu Datenverletzungen oder Installation von Ransomware. Es ist daher ratsam, ein ausgewogenes Verhältnis zwischen Prävention und Erkennungs- und Reaktionsmöglichkeiten anzustreben.
"Assume Compromise"-Ansatz: Wechsel von reaktiv zu proaktiv
In der Vergangenheit haben sich Unternehmen für einen präventiven Ansatz entschieden, um Eindringlinge von ihren Netzwerken fernzuhalten. Leider können Angreifer, wenn sie über genügend Motivation, Zeit und Ressourcen verfügen, diese präventiven Kontrollen umgehen, und das oft im Verborgenen.
"Assume Compromise", also von einer Kompromittierung auszugehen, sei eine neue Denkweise im Bereich der Sicherheit, die die Grenzen bestehender Sicherheitsmaßnahmen angesichts moderner Cyberbedrohungen anerkennt, argumentiert der Sicherheitsanbieter Vectra AI. Der Ansatz geht von der Annahme aus, dass es einem Angreifer gelingen wird, einen Weg in die Netzwerkumgebung zu finden.
Von einer Kompromittierung auszugehen, verändert die Art und Weise, wie Unternehmen über ihre Sicherheitsherausforderungen denken. Anstatt sich auf präventive Kontrollen zu konzentrieren, um Angreifer fernzuhalten, liegt der Schwerpunkt auf der Schaffung einer ausreichenden Sichtbarkeit innerhalb der Umgebung. Dazu zählt die Einbindung fortschrittlicher Erkennungs- und Reaktionsfunktionen, um Bedrohungen zu entschärfen, die bereits bestehende Kontrollen umgehen. Ein modernerer Ansatz bedeutet, sich darauf vorzubereiten, wenn etwas schiefläuft, und sicherzustellen, dass das Unternehmen etwas dagegen bewirken kann.
Sicherheit erhöhen mit Zero Trust
Zero Trust spielt eine entscheidende Rolle bei einem Ansatz, der von einer Kompromittierung ausgeht. Es gibt zahllose Beispiele für Ransomware-Angriffe, bei denen die Umgehung der Perimeter-Verteidigung dazu führte, dass Angreifer uneingeschränkten Zugang zu Unternehmensressourcen erhielten, so Vectra AI. Folglich ist die Tatsache, dass man sich innerhalb des Unternehmensnetzwerks befindet, kein Grund mehr, einem Benutzer oder Gerät zu vertrauen.
Da das Zero-Trust-Modell standardmäßig keinem Benutzer oder Gerät vertraut, gilt es die Identitäten von Benutzern und Geräten im Netzwerk unabhängig von ihrem physischen Standort ständig zu überprüfen. Indem jedes Mal eine Authentifizierung erforderlich ist, wenn ein Benutzer oder Gerät den Zugriff auf verschiedene Ressourcen anfordert, lässt sich das Problem des impliziten Vertrauens in Benutzer oder Geräte entschärfen. Wenn ein Angreifer unweigerlich eine Schwachstelle in einer präventiven Kontrolle findet, schränkt das fehlende Standardvertrauen den Umfang dessen ein, was diese Person im Netzwerk machen kann.
Eine Sicherheitsmentalität, die von der Annahme ausgeht, dass eine Kompromittierung vorliegt, bringt einige Herausforderungen mit sich, wenn es darum geht, Sicherheitsexperten über die tatsächlichen Umstände eines Vorfalls aufzuklären. Wenn Sicherheitsteams anfangen, davon auszugehen, dass sie gehackt werden, dann kann ein solides Grundwissen zur offensiven Sicherheit viel dazu beitragen, diese neue Denkweise zu verinnerlichen. Aus der Perspektive der Sicherheitsprozesse erfordern Strategien zur digitalen Transformation laut Vectra AI die Beantwortung einiger kritischer Fragen, wie z. B.:
- Müssen Sie Ihre bestehenden Sicherheitstools in die Cloud verlagern?
- Reichen Ihre bestehenden Sicherheitstools aus, um Cloud, KI, IoT und andere Technologien der digitalen Transformation zu schützen?
- Können sich Sicherheitspraktiken im Einklang mit der Automatisierung und Digitalisierung im Unternehmen weiterentwickeln, was zu größerer Agilität und Sichtbarkeit in IT-Umgebungen von On-Premises bis zur Cloud führt?
Insgesamt läuft die Argumentation von Vectra AI auf Wechsel in die Cloud hinaus, wobei ich meine Zweifel habe, dass das hilft, wenn das Sicherheitsmodell nicht auf "Assume Compromise" umgestickt und die IT-Sicherheit entsprechend gedacht wird.
Wie Hacker Rechner mit Ransomware infizieren
Vom Sicherheitsanbieter Bitdefender liegt mir zudem eine Übersicht vor, die sich damit befasst, über welche Einfallstore Ransomware auf die Systeme der Opfer gelangt. Die nachfolgenden Ausführungen sind überwiegend für Privatanwender relevant, Admins in Firmen sollten diese Einfallswege kennen und versperren.
Warez-Seiten, Torrents, gecrackte Software
Einige der häufigsten Orte, an denen man sich mit Ransomware infizieren kann, sind laut Bitdefender Warez-Seiten und Torrents. Hier laden Nutzer in der Regel raubkopierte Inhalte oder inoffizielle Softwarepakete herunter, die nicht von offiziellen Quellen geprüft sind. Diese an sich bereits fragwürdigen Kanäle sind die perfekte Gelegenheit, um Ransomware unbemerkt einzuschleusen. Ein beliebtes Computerspiel oder Videoinhalte dienen als vertrauenswürdige Fassade für infizierte Softwarepakete, mit denen man sich die Ransomware selbst installiert.
Abhilfe: Finger weg! Raubkopierte Software ist grundsätzlich problematisch und birgt zudem ein unkalkulierbares Ransomware-Risiko in sich. Von ihr kann nur abgeraten werden. Diese Infektionsquelle dürfte für Unternehmen mit entsprechender IT aber eher kein Thema sein.
Phishing
Phishing ist wohl der mit Abstand der beliebteste Angriffsvektor für alle Arten von Cyberangriffen und damit eine gängige Methode, um Ransomware auf Computern zu platzieren. Die Angriffe werden dabei immer professioneller und für viele Nutzer nur schwer erkennbar. So bauen Angreifer täuschend echte Kopien seriöser Websites auf. Alternativ verleiten sie ihre arglosen Opfer per Spam-Nachrichten zum Anklicken eines Links, um einen vermeintlichen Gewinn in Anspruch zu nehmen oder Anhänge herunterzuladen und zu öffnen.
Abhilfe: Alle Angebote prüfen. Häufig verraten sich die Angreifer durch kleinere Details in ihrem Unternehmensauftritt oder in der Korrespondenz. Eine falsche Adresse kann ein wichtiger Hinweis sein. Zudem empfiehlt es sich, das Unternehmen auf anderem Wege kontaktieren zu können, um einen Betrugsversuch auszuschließen. Je attraktiver das Angebot ist, um so vorsichtiger sollten Nutzer sein.
Supply Chain Attack
Auch der Download offizieller Software kann eine böse Malware-Überraschung bescheren, wenn der Hersteller der Software kompromittiert wurde. Manchen Angreifern gelingt es, durch eine Schwachstelle beim offiziellen Softwareanbieter die Lieferkette und damit offizielle Softwareversionen mit Ransomware zu infizieren. Ein mögliches Beispiel wären etwa beliebte Freeware-Videoplayer wie VLC.
Das klingt unwahrscheinlich, kommt aber doch immer wieder vor. Das bekannteste Beispiel ist der KeRanger-Ransomware-Stamm, der vor allem Macs über einen beliebten BitTorrent-Client angreift: Im Jahr 2016 gelang es den Hackern, The Transmission Project zu hacken und das offizielle Transmission-Binary-Build mit der Ransomware KeRanger zu infizieren. Dank des gültigen, von OS X als geprüft eingestuften Sicherheitszertifikats von Transmission gelang es den Cyberkriminellen, die OS X-eigene Antivirustechnologie XProtect zu umgehen. Der Nutzer installierte die mit Ransomware infizierte Transmission-App eigenhändig.
Abhilfe: Sicherheitssoftware. Es kommt vielleicht selten vor, dass Nutzer auch bei Einhalten aller Vorsichtsmaßnahmen Ransomware einhandeln können. Für diese seltenen, aber teuren Fälle bietet eine zeitgemäße Sicherheitslösung auf dem Computer den notwendigen Schutz – unabhängig vom jeweiligen Betriebssystem.
Ungeschützte IoT-Geräte
Auch das immer mehr von Privatanwendern genutzte Internet der Dinge sorgt für Gefahren. Ein nicht gepatchter oder falsch konfigurierte Router öffnet Hackern Tür und Tor zu ihren Computern. Angreifer suchen über das Internet maschinell und automatisch nach Routerschwachstellen und den jeweiligen installierten Systemen. Dank spezieller Tools haben sie nicht viel Arbeit damit und können automatisch sowie rentabel eine große Menge von Systemen angreifen.
Noch häufiger sind jedoch unzureichend geschützte oder falsch konfigurierte Netzwerkspeichergeräte (Network Attached Storage/NAS). In jüngster Zeit geraten zum Beispiel Nutzer von QNAP NAS-Geräten vermehrt ins Visier der Angreifer. Diese machen sich entweder ungeschützte Freigaben oder Sicherheitslücken im Produkt selbst zunutze.
Abhilfe: Sicherheitsbewusster Einkauf. Generell gilt: Wer solche Hardware nutzt, sollte stets die Sicherheitsempfehlungen des Herstellers beachten und die Firmware immer auf dem neuesten Stand halten. Wenn es beides oder auch Sicherheitszertifikate nicht gibt, sollte man solche Systeme lieber nicht kaufen. Gibt es Grund zur der Annahme, dass Angreifer eine Zero-Day-Schwachstelle ausnutzen, sollten Benutzer das Gerät hinter einer Firewall schützen und vom Internet isolieren, bis es eine Abhilfe für das Problem gibt.
Tech-Support-Betrug
Ein weiterer Weg, Ransomware zu verbreiten, ist der so genannten Tech-Support-Betrug. Hierbei haben es Betrüger besonders auf ältere Menschen und andere gefährdete Zielgruppen abgesehen. Sie überzeugen ihre Opfer davon, dass sie technische Hilfe benötigen und ihnen zu diesem Zweck Fernzugriff auf ihre Computer gewähren müssen.
Tech-Support-Betrüger kommen bei ihren Ransomware-Angriffen ganz ohne eigentliche Ransomware aus. Sie nutzen stattdessen Syskey, eine inzwischen nicht mehr unterstützte Komponente von Windows NT, die die Datenbank des Security Account Manager (SAM) mit einem 128-Bit-RC4-Schlüssel verschlüsselt. Sie wurde erst Jahrzehnte später mit Windows 10 eingestellt, weil ihre Verschlüsselung nicht mehr sicher war und sie zudem immer wieder für Ransomware-Angriffe missbraucht wurde.
Aber Anwender sollten sich nicht täuschen lassen: Support-Betrüger nutzen stattdessen echte Ransomware und sie lassen sich keine Gelegenheit entgehen, Ihre Daten zu verschlüsseln.
Abhilfe: Vorsicht. Misstrauen ist die halbe Miete, um solche Angriffe zu verhindern. Der gesunde Menschenverstand sagt: In der Regel erkennt man Probleme am PC als erstes selbst und ein Anruf von jemand unbekannten ist mehr als ungewöhnlich. Seriöse Anbieter klopfen nicht ungefragt bei Verbrauchern an. Wer ältere oder aber auch jugendliche Personen kennt, sollte darauf hinweisen, dass man solche Kontakte von vornherein besser abblockt. Bei Problemen ist der Herstellersupport oder das Fachgeschäft die richtige Wahl.
Ratschläge von Palo Alto Networks
Sicherheitsanbieter Palo Alto Networks verfolgt mit seiner Unit42 die Ukraine-Krise und die Zunahme der russischen Cyberaktivitäten in diesem Blog-Beitrag. Dort rät der Anbieter Unternehmen, Maßnahmen in den folgenden vier Bereichen zu priorisieren:
- Ausgenutzte Schwachstellen patchen: Unternehmen sollten Patches installieren für jede Software, die Sicherheitslücken enthält – nicht nur für solche, von denen bekannt ist, dass sie in freier Wildbahn ausgenutzt werden. Am dringendsten ist dies bei Software, die mit dem Internet verbunden und für den Betrieb des Unternehmens notwendig ist, wie Webmail, VPNs und andere Fernzugriffslösungen.
- Vorbereitet sein auf Ransomware und/oder Datenzerstörung: Bei einer wahrscheinlichen Form eines störenden Cyberangriffs wird entweder Ransomware zum Einsatz kommen oder es wird ein zerstörerischer Angriff stattfinden, der sich als Ransomware ausgibt. Wie bei den NotPetya-Angriffen im Jahr 2017 und den WhisperGate-Angriffen im letzten Monat zu beobachten war, handelt es sich bei einem Angriff, bei dem Lösegeld gefordert wird, möglicherweise gar nicht um klassische „Ransomware". Die bei diesen Angriffen verwendete Malware zerstörte Daten ohne jede Chance auf Wiederherstellung und nutzte die Lösegeldforderung lediglich zur Verschleierung ihrer wahren Absicht. Die Vorbereitungen, die zur Verhinderung dieser Angriffe und Wiederherstellung erforderlich sind, sind in beiden Fällen ähnlich. Das Testen von Backup- und Wiederherstellungsplänen ist von entscheidender Bedeutung. Dies gilt ebenso für das Testen des Plans zur Aufrechterhaltung der Betriebsabläufe für den Fall, dass das Netzwerk oder andere wichtige Systeme durch einen Angriff deaktiviert werden.
- Bereit sein, um schnell zu reagieren: Unternehmen sollten ihre Krisenreaktionsprozesse nicht erst in der Hitze des Gefechts, also einer tatsächlichen Krise, testen. Daher gilt es für den Fall eines Cybersicherheitsvorfalls oder einer Unterbrechung der kritischen Infrastruktur in den wichtigsten Bereichen Ansprechpartner zu benennen. Unternehmen müssen ihr Kommunikationsprotokoll (und ihre Sicherungsprotokolle) testen, um zu vermeiden, dass sie ohne einen klaren Mechanismus zur Verbreitung wichtiger Informationen dastehen. Sinnvoll ist es, eine Table-Top-Übung mit allen wichtigen Beteiligten durchzuführen und durchzuspielen, wie im Falle des Falles zu reagieren wäre.
- Netzwerk sperren: Kleine Änderungen der Richtlinien können die Wahrscheinlichkeit eines erfolgreichen Angriffs auf das Netzwerk verringern. Bei den jüngsten Angriffen wurden beliebte Chat-Anwendungen wie Trello und Discord missbraucht, um bösartige Dateien zu verbreiten. Die Angreifer nutzten einfach die Plattformen, um Links zu den Dateien zu hosten, ohne dass die Benutzer die Software verwenden mussten. Viele Anwendungen können auf diese Weise missbraucht werden. Wenn Unternehmen diese Funktionen nicht benötigen, können sie diese blockieren, um die Sicherheit zu erhöhen.
Palo Alto hat noch drei weitere Informationsressourcen verlinkt:
- Einzelheiten zum Shields Up-Programm der amerikanischen CISA
- Dieser Blog von Unit 42 berichtet über die jüngsten Aktivitäten der Gamaredon-Gruppe, einer Gruppe, die von der Ukraine mit dem FSB in Verbindung gebracht wird. Der Bericht dokumentiert die Angriffe auf ein ausländisches Regierungsbüro in der Ukraine. Hatte ich im Blog-Beitrag Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich thematisiert.
- Threat Brief von Unit 42 über den Cyberkonflikt zwischen Russland und der Ukraine
Ähnliche Artikel:
Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich
Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls
Massiver Cyberangriff auf Webseiten in der Ukraine & Wiper Malware gefunden (23.2.2022)
Cyberangriff auf axis.com bestätigt (23. Feb. 2022)
Active Directory vor Ransomware-Attacken schützen
Kleiner Forensik-Leitfaden von Marko Rogge als Download
Cyberkrieg bedeutet Kontrollverlust
Angriffe auf die Software-Lieferketten in der Cloud verschärfen Bedrohungslage für Unternehmen
Gartner: 30% aller KRITIS-Organisationen erleiden bis 2025 eine Sicherheitsverletzung
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff
Kaseya: Decryption-Key aufgetaucht, Backup-Update schließt Schwachstellen
Microsoft Insides zum SolarWinds Orion SunBurst-Hack
Passwordstate Passwort-Manager per Lieferkettenangriff gehackt (April 2021)
SolarWinds-Angreifer nehmen Microsoft-Partner ins Visier – fehlende Cyber-Sicherheit bemängelt
Anzeige
Das ist wie in Deutschland mit dem Banking über Android. Viele wissen, das es schief gehen kann aber die meisten machen trotzdem weiter mit dem Onlinebanking über Tablet und Smartphone, bis es dann schief gegangen ist.
Leider wird es so ähnlich auch in deutschen Verwaltungen und anderer kritischer Infrastruktur passieren. Und wenn nicht, weil alle vorbereitet sind, soll mir das auch recht sein.
Was genau ist denn mit Banking über einer App so verwerflich?
Ich nutze nur Sparkasse und kann über die Qualität anderer Apps nicht sprechen.
Datenbank ist verschlüsselt, gefühlt alle paar Tage muss ich mit mit TAN-Verfahren (Chip-TAN) neu verifizieren. Überweisungen gehen sowieso nur via 2FA (auch wieder Chip-TAN)…
Ganz grob: Viele Android-Systeme bekommen keine Sicherheitsupdates mehr. Die Banking-Apps sollen dann auch noch für die Transaktions-Authorisierung genutzt werden. Dann wird es kritisch. Und was die Apps machen, ist auch oft genug eine Black Box.
Wenn man am Smartphone Online-Banking betreibt, dann könnte man den Browser und einen TAN-Generator mit Flicker-Code verwenden – aber genau diese Generatoren sollen meinen Informationen nach möglicherweise abgeschafft werden (Volksbanken sind da dran).
Naja im Großen und Ganzen stimme ich da zu, aber der Hinweis auf Torrents und Warez ist einfach nur ne Nebelkerze … die vergangenen Wochen Monaten haben gezeigt das Malware direkt aus den Shops installiert wurden … zuvor einwandfrei getestete Apps die dann per Update Malware verbreiten. Herstellerseiten die unbemerkt gehackt wurden und zur Malwareschleudern mutieren ebenso wie direkt Fehler in Hardware die Malware freien Zugang garantieren.
Warez / Torrents / etc. wird da gar nicht mehr benötigt! Das schreit eher nach "sponsoring durch die ContentMAFIA" ;-P
Warez sind ja per Definitionen geklaut. Die Wahrscheinlichkeit, mit über einen solchen Kanal bezogenen "freien" Photoshop*) was einzufangen, ist einfach höher, als wenn ich die Software nicht nutze, will sie zu teuer ist, und selbst wenn erstanden, wenn ich sie vom Vendor persönlich lade.
*) teure Anwendungssoftware, Spiele, you name it
Aber korrekt, sogar bei "echt freier" Software kann sich was einschleichen, aber dort ist die Nachfrage sicherlich einfach meistens geringer als bei Löhnware. Daher sicher attraktiv beim Ransomwarevertrieb….
Als wenn wir irgendwelche Angriffe aus Russland bräuchten damit unsere kritische Infrastruktur zusammenbricht. Alleine die Telekom hat im letzten halben Jahr drei größere Störungen teilweise sogar mit Ausfall der Notrufnummern produziert. Bei anderen Providern ist die Störung ja eher der Normalfall :) Konsequenzen wie immer keine, aber dafür wird jetzt jeder kleine Containerdienst mit drei LKW zur kritischen Infrastruktur gemacht und muss ein Sicherheitskonzept auf die Beine stellen das er sich gar nicht leisten kann.
Ich persönlich sehe im KMU Umfeld keine größere Gefahr als zuvor, wer bis jetzt nichts gemacht hat wird das weiterhin tun. Wer ordentlich gearbeitet hat wird auch in Zukunft keine Probleme haben bzw. weiterhin darauf vorbereitet sein. IT ist doch schon immer stetiger Wandel :)
Die Lösung kann auch banal sein.
Alles was nicht ins Unternehmensnetzwerk gehört raus in ein vlan.
Und dann was muss alles ins Internet?
Es gibt viele system die ich abgeschottet hinter eine Firewall betrieben kann und die ohne Internet auskommen.
Ein Sps Netzwerk zu Beispiel. Bracht kein Internet und Datenaustausch über opc, ein Port in der Firewall und gut ist. Das ganze dann mit Zertifikat und Anmeldedaten und schon habe ich aus einer Kuh auf dem Eis, eine Maus auf dem Feld gemacht.
Kritische System gehören nicht ans Internet und erst recht nicht ohne Firewall und VPN.
Gut gebrüllt Löwe… ;-)
Was machst Du mit Emails im Unternehmen? Gibts nicht…schon klar!
Was machst Du mit Daten die von externen reinkommen (USB,CD etc.)? Gibts nicht…schon klar!
Was machst Du mit den Mitarbeitern die überfordert oder im Stess sind? Gibts nicht…schon klar!
Was ist mit der Kommunikation innerhalb des Unternehmens? Gibts nicht…schon klar!
Was machst Du mit kleinen Buden, die sich so etwas wie IT-Admins nicht leisten können/wollen? Gibts nicht…schon klar!
Wenn das alles so einfach (banal) wäre, bin ich voll und ganz auf Deiner Seite – nur die Praxis sieht ganz anders aus, als wie es sich einige und auch der BSI manchmal vorstellen!
Ich weiß, Du hast auch nur einen Vorschlag gemacht, den wir alle so unterschreiben würden (mein Post ist jetzt nicht gg. Dich und Deinem Post)!
PS:
Versteht eigentlich einer, was ich meine? Gibts… schon klar!
;-)
Emails kannst du in ein DMZ auf einen Terminalserver verlagern.
USB ist in vielen Unternehmen gesperrt, CD-Laufwerke haben viele PCs und Notebooks schon nicht mehr.
Bei Überforderung hilft gezielte Schulung.
Bei den kleinen Buden kann auch nicht viel kaputt gehen, sehe ich nicht als primäres Angriffsziel, bei dem es viel zu holen gibt.
Warum soll Kommunikation in einem abgeschotteten Netz nicht mehr möglich sein?
Na es gibt keinen einzigen vernünftigen Grund dafür das Emails/Daten von extern etc. direkt und ungeprüft und ungeschützt beim Sachbearbeiter aufschlagen, passiert dies hat die IT bereits im Vorfeld geschlampt!
Wichtige Systeme müssen auch nicht mit email Systemen zusammen im selben Netzsegment laufen …
Fremde USB Sticks haben da nix zu suchen! Und das kann man regeln, wenn man den nur will … all deine Aufzählungen zeugen nur von eines: Unfähigkeit ne IT sicher zu betreiben und Ausreden… IT Sicherheit funktioniert, nur das kostet eben! Sowohl fähige Mitarbeiter als auch Geld und Ressourcen.
Tja und wenn kleine Klitschen sich keine ordentlich IT leisten können, sind sie a.) nicht Systemrelevant und b.) je schneller die pleite gehen umso besser!
Ein auch noch sehr wichtiger Punkt:
Alles in gleichwelcher Cloud muss auch lokal vorhanden sein und bei Bedarf auch lokal im Firmennetz funktionieren.
Ebenso die lokale E-Mail Kommunikation innerhalb der Firma, die bei Bedarf auch über einen lokalen Mailserver laufen können muss.
Und natürlich ebenso die lokalen PCs, die auch ohne bzw. mit gesperrtem Microsoft-Konto funktionieren müssen, und ohne irgendwelche 2FA über externe Anbieter.
Jede externe Abhängikeit ist im Zweifelsfall eine zuviel.
Vorbereitung auf Cyberkrise? Diese Warnung kommt ein wenig spät.
Spätestens seit der Corona Krise haben Angriffe zugenommen. Diese betreffen hauptsächlich die Medien Telefon und Mails. Angefangen von Telefonterror, Schock-Anrufen, Enkeltrick bis über zu vermeintlichen Bewerbungen, Man-In-The-Middle Attacken auf Mails, Click&Infect Mails, Identitätsdiebstahl,…
Und selbst bei freien Programmen muss man immer mehr darauf achten, sich nicht einen Virus einzufangen.
Das Internet hat für mich eine gewisse Ähnlichkeit mit einem Stadtklo angenommen. Es gibt ein paar saubere Ecken aber die meisten Stellen sind schmuddelig und man fängt sich schnell war ein.
Sorry, um dieses Unwichtigkeiten ging es gar nicht!
Es geht um z.B. Energieversorger, die ihre Netze nicht gescheit absichern!
Um z.B. Krankenhäuser, die lebenserhaltende Gerätschaften ungesichert im Netz hängen haben
und sich dann wundern, wenn es einen Hack auf Krankenhausnetz gab, jene Geräte auch betroffen sind. Wasserwerke, Ämter und Behörden, etc.
IT wurde unter 16 Jahren CDU komplett verschlafen, Neuland eben.
Und zur derzeitigen Lage, der Schmusekurs mit Putin unter der CDU die vergangenen 16 Jahren
rächen sich auch derzeit.
Aber Scholz mach mit seinen wachsweichen Sanktionen auch kein gutes Bild.
Unwichtigkeiten?
Sag das bitte doch mal der Firma in meiner Region welche durch eine Man-In-The-Middle Attacke einen sechsstelligen Betrag verloren hat. Sag das doch bitte mal der Firma, welche durch eine gefakte Bewerbung gehackt wurde. Sag das doch bitte alle Firmen welche durch einen Einbruch in ihre Netze Patentwissen verloren haben. Sag das bitte alle Kunden welche durch Spam-Filter fallen, weil die Haupt-Mailadresse voll von Spam ist.
Das Problem ist doch die fehlende Anerkennung des Themas Sicherheit.
Wie gerne werden Sicherheitstechniken als paranoid bezeichnet?
Wie oft werden Entdeckungen von Sicherheitsforscher verächtlich betrachtet, wenn nicht gar angezeigt? (z.B. Luca Marcus Mengs, CDU Lilith Wittmann, Modern Solution Hendrik Heinle)
Wäre auch dem letzten CEO bewusst, dass das Internet Ähnlichkeiten mit einem Stadtklo hat, wären vielen Dinge sicherer.
Und es ist einfach unklug zu denken dass das Problem erst jetzt brisant wurde.
> Aber Scholz mach mit seinen wachsweichen Sanktionen auch kein gutes Bild.
Freiwillige an die Front
SCNR
Das Hackerkollektiv Anonymous hat Russland den Cyberkrieg erklärt:
"The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine"
https://twitter.com/YourAnonOne
kremlin.ru und tass.ru waren oder sind heute bereits down.
Im Augenblick geht tass.ru wieder, aber kremlin.ru nicht.
Booaah Putin zittern schon die Knie ;-P
Wäre aber auch mal was wenn Putin seine Hackarmee los läßt und sich das Drecksgesockse gegenseitig auslöscht. WinWin für den Rest der Welt.