![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Mit dem russischen Einmarsch in die Ukraine und den von westlichen L\u00e4ndern gegen Russland verh\u00e4ngten Sanktionen gehen Sicherheitsforscher davon aus, dass k\u00fcnftig Cyberangriffe auf US-amerikanische und westeurop\u00e4ische Unternehmen und Institutionen als Vergeltung stattfinden. Nachfolgend einige aus verschiedenen Quellen zusammengetragenen Informationen, was man zum Schutz der IT jetzt tun kann.<\/p>\n
<\/p>\n
In den letzten Monaten haben Cyberangriffe ja sprunghaft zugenommen. Das reicht von Ransomware-Angriffen von Cyberkriminellen bis hin zu Cyberangriffen, die mutma\u00dflich staatlichen Akteuren oder staatsnahen Hackern zugeschrieben werden. Die Ukraine steht im Zusammenhang mit dem russischen Einmarsch seit Wochen im Fokus solcher Cyberangriffe.<\/p>\n
Bei der Analyse diverse Sicherheitsvorf\u00e4lle der Vergangenheit stellte sich heraus, dass die Akteure bereits Wochen oder Monate vor bekannt werden einer Sicherheitsl\u00fccke oder Angriffswelle in den IT-Systemen eingedrungen waren. Der Sicherheitsanbieter Vectra AI fordert eine Ver\u00e4nderung der Sicherheitsmentalit\u00e4t und r\u00e4t Unternehmen, im Hinblick auf Sicherheitserw\u00e4gungen von einer Kompromittierung ihrer IT-Systeme ausgehen.<\/p>\n
Denn die zunehmende Zahl aufsehenerregender Cyberangriffe im Jahr 2021 zeigt, wie anf\u00e4llig ein pr\u00e4ventives Sicherheitskonzept ist. Bei dem Angriff auf Colonial Pipeline reichten gestohlene Zugangsdaten f\u00fcr ein VPN-Konto, um das Netzwerk zu kompromittieren. Unabh\u00e4ngig davon, wie viele pr\u00e4ventive Kontrollen eingerichtet sind, gen\u00fcgt ein einziger Fehler, um diese unwirksam zu machen.<\/p>\n
Eine gute Sicherheitshygiene seit laut Vectra AI nach wie vor \u00e4u\u00dferst wichtig, und pr\u00e4ventive Kontrollen seien nicht \u00fcberfl\u00fcssig. Der Punkt ist, dass es m\u00f6glich ist, im Kontext einer komplexen IT-Umgebung etwas zu \u00fcbersehen. Pr\u00e4ventive Sicherheitskontrollen versagen nicht nur regelm\u00e4\u00dfig, sondern beeintr\u00e4chtigen auch den Gesch\u00e4ftsbetrieb, wenn man sich zu sehr auf sie verl\u00e4sst, wie Vectra AI berichtet. Da Unternehmen immer mehr Einzell\u00f6sungen zur Vorbeugung verschiedener Sicherheitsbedrohungen einsetzen, wird es immer schwieriger, ein Gleichgewicht zwischen Sicherheit und Gesch\u00e4ftsm\u00f6glichkeiten zu finden. Je mehr unterschiedliche, schlecht integrierte Sicherheitstools sich in der Umgebung befinden, desto schwieriger wird es, den regul\u00e4ren Gesch\u00e4ftsbetrieb und die Produktivit\u00e4t der Benutzer zu unterst\u00fctzen.<\/p>\n
Hat ein Unternehmen keine Alternative zur pr\u00e4ventiven Sicherheit, f\u00fchren Netzwerkinfiltrationen in der Regel zu Datenverletzungen oder Installation von Ransomware. Es ist daher ratsam, ein ausgewogenes Verh\u00e4ltnis zwischen Pr\u00e4vention und Erkennungs- und Reaktionsm\u00f6glichkeiten anzustreben.<\/p>\n
In der Vergangenheit haben sich Unternehmen f\u00fcr einen pr\u00e4ventiven Ansatz entschieden, um Eindringlinge von ihren Netzwerken fernzuhalten. Leider k\u00f6nnen Angreifer, wenn sie \u00fcber gen\u00fcgend Motivation, Zeit und Ressourcen verf\u00fcgen, diese pr\u00e4ventiven Kontrollen umgehen, und das oft im Verborgenen.<\/p>\n
\"Assume Compromise\", also von einer Kompromittierung auszugehen, sei eine neue Denkweise im Bereich der Sicherheit, die die Grenzen bestehender Sicherheitsma\u00dfnahmen angesichts moderner Cyberbedrohungen anerkennt, argumentiert der Sicherheitsanbieter Vectra AI. Der Ansatz geht von der Annahme aus, dass es einem Angreifer gelingen wird, einen Weg in die Netzwerkumgebung zu finden.<\/p>\n
Von einer Kompromittierung auszugehen, ver\u00e4ndert die Art und Weise, wie Unternehmen \u00fcber ihre Sicherheitsherausforderungen denken. Anstatt sich auf pr\u00e4ventive Kontrollen zu konzentrieren, um Angreifer fernzuhalten, liegt der Schwerpunkt auf der Schaffung einer ausreichenden Sichtbarkeit innerhalb der Umgebung. Dazu z\u00e4hlt die Einbindung fortschrittlicher Erkennungs- und Reaktionsfunktionen, um Bedrohungen zu entsch\u00e4rfen, die bereits bestehende Kontrollen umgehen. Ein modernerer Ansatz bedeutet, sich darauf vorzubereiten, wenn etwas schiefl\u00e4uft, und sicherzustellen, dass das Unternehmen etwas dagegen bewirken kann.<\/p>\n
Zero Trust spielt eine entscheidende Rolle bei einem Ansatz, der von einer Kompromittierung ausgeht. Es gibt zahllose Beispiele f\u00fcr Ransomware-Angriffe, bei denen die Umgehung der Perimeter-Verteidigung dazu f\u00fchrte, dass Angreifer uneingeschr\u00e4nkten Zugang zu Unternehmensressourcen erhielten, so Vectra AI. Folglich ist die Tatsache, dass man sich innerhalb des Unternehmensnetzwerks befindet, kein Grund mehr, einem Benutzer oder Ger\u00e4t zu vertrauen.<\/p>\n
Da das Zero-Trust-Modell standardm\u00e4\u00dfig keinem Benutzer oder Ger\u00e4t vertraut, gilt es die Identit\u00e4ten von Benutzern und Ger\u00e4ten im Netzwerk unabh\u00e4ngig von ihrem physischen Standort st\u00e4ndig zu \u00fcberpr\u00fcfen. Indem jedes Mal eine Authentifizierung erforderlich ist, wenn ein Benutzer oder Ger\u00e4t den Zugriff auf verschiedene Ressourcen anfordert, l\u00e4sst sich das Problem des impliziten Vertrauens in Benutzer oder Ger\u00e4te entsch\u00e4rfen. Wenn ein Angreifer unweigerlich eine Schwachstelle in einer pr\u00e4ventiven Kontrolle findet, schr\u00e4nkt das fehlende Standardvertrauen den Umfang dessen ein, was diese Person im Netzwerk machen kann.<\/p>\n
Eine Sicherheitsmentalit\u00e4t, die von der Annahme ausgeht, dass eine Kompromittierung vorliegt, bringt einige Herausforderungen mit sich, wenn es darum geht, Sicherheitsexperten \u00fcber die tats\u00e4chlichen Umst\u00e4nde eines Vorfalls aufzukl\u00e4ren. Wenn Sicherheitsteams anfangen, davon auszugehen, dass sie gehackt werden, dann kann ein solides Grundwissen zur offensiven Sicherheit viel dazu beitragen, diese neue Denkweise zu verinnerlichen. Aus der Perspektive der Sicherheitsprozesse erfordern Strategien zur digitalen Transformation laut Vectra AI die Beantwortung einiger kritischer Fragen, wie z. B.:<\/p>\n
Insgesamt l\u00e4uft die Argumentation von Vectra AI auf Wechsel in die Cloud hinaus, wobei ich meine Zweifel habe, dass das hilft, wenn das Sicherheitsmodell nicht auf \"Assume Compromise\" umgestickt und die IT-Sicherheit entsprechend gedacht wird.<\/p>\n
Vom Sicherheitsanbieter Bitdefender liegt mir zudem eine \u00dcbersicht vor, die sich damit befasst, \u00fcber welche Einfallstore Ransomware auf die Systeme der Opfer gelangt. Die nachfolgenden Ausf\u00fchrungen sind \u00fcberwiegend f\u00fcr Privatanwender relevant, Admins in Firmen sollten diese Einfallswege kennen und versperren.<\/p>\n
Einige der h\u00e4ufigsten Orte, an denen man sich mit Ransomware infizieren kann, sind laut Bitdefender Warez-Seiten und Torrents. Hier laden Nutzer in der Regel raubkopierte Inhalte oder inoffizielle Softwarepakete herunter, die nicht von offiziellen Quellen gepr\u00fcft sind. Diese an sich bereits fragw\u00fcrdigen Kan\u00e4le sind die perfekte Gelegenheit, um Ransomware unbemerkt einzuschleusen. Ein beliebtes Computerspiel oder Videoinhalte dienen als vertrauensw\u00fcrdige Fassade f\u00fcr infizierte Softwarepakete, mit denen man sich die Ransomware selbst installiert.<\/p>\n
Abhilfe: Finger weg!<\/em> Raubkopierte Software ist grunds\u00e4tzlich problematisch und birgt zudem ein unkalkulierbares Ransomware-Risiko in sich. Von ihr kann nur abgeraten werden. Diese Infektionsquelle d\u00fcrfte f\u00fcr Unternehmen mit entsprechender IT aber eher kein Thema sein.<\/p><\/blockquote>\n
Phishing<\/h3>\n
Phishing ist wohl der mit Abstand der beliebteste Angriffsvektor f\u00fcr alle Arten von Cyberangriffen und damit eine g\u00e4ngige Methode, um Ransomware auf Computern zu platzieren. Die Angriffe werden dabei immer professioneller und f\u00fcr viele Nutzer nur schwer erkennbar. So bauen Angreifer t\u00e4uschend echte Kopien seri\u00f6ser Websites auf. Alternativ verleiten sie ihre arglosen Opfer per Spam-Nachrichten zum Anklicken eines Links, um einen vermeintlichen Gewinn in Anspruch zu nehmen oder Anh\u00e4nge herunterzuladen und zu \u00f6ffnen.<\/p>\n
Abhilfe: Alle Angebote pr\u00fcfen.<\/em> H\u00e4ufig verraten sich die Angreifer durch kleinere Details in ihrem Unternehmensauftritt oder in der Korrespondenz. Eine falsche Adresse kann ein wichtiger Hinweis sein. Zudem empfiehlt es sich, das Unternehmen auf anderem Wege kontaktieren zu k\u00f6nnen, um einen Betrugsversuch auszuschlie\u00dfen. Je attraktiver das Angebot ist, um so vorsichtiger sollten Nutzer sein.<\/p><\/blockquote>\n
Supply Chain Attack<\/h3>\n
Auch der Download offizieller Software kann eine b\u00f6se Malware-\u00dcberraschung bescheren, wenn der Hersteller der Software kompromittiert wurde. Manchen Angreifern gelingt es, durch eine Schwachstelle beim offiziellen Softwareanbieter die Lieferkette und damit offizielle Softwareversionen mit Ransomware zu infizieren. Ein m\u00f6gliches Beispiel w\u00e4ren etwa beliebte Freeware-Videoplayer wie VLC.<\/p>\n
Das klingt unwahrscheinlich, kommt aber doch immer wieder vor. Das bekannteste Beispiel ist der KeRanger<\/a>-Ransomware-Stamm, der vor allem Macs \u00fcber einen beliebten BitTorrent-Client angreift: Im Jahr 2016 gelang es den Hackern, The Transmission Project zu hacken und das offizielle Transmission-Binary-Build mit der Ransomware KeRanger zu infizieren. Dank des g\u00fcltigen, von OS X als gepr\u00fcft eingestuften Sicherheitszertifikats von Transmission gelang es den Cyberkriminellen, die OS X-eigene Antivirustechnologie XProtect zu umgehen. Der Nutzer installierte die mit Ransomware infizierte Transmission-App eigenh\u00e4ndig.<\/p>\n
Abhilfe: Sicherheitssoftware.<\/em> Es kommt vielleicht selten vor, dass Nutzer auch bei Einhalten aller Vorsichtsma\u00dfnahmen Ransomware einhandeln k\u00f6nnen. F\u00fcr diese seltenen, aber teuren F\u00e4lle bietet eine zeitgem\u00e4\u00dfe Sicherheitsl\u00f6sung auf dem Computer den notwendigen Schutz –\u00a0 unabh\u00e4ngig vom jeweiligen Betriebssystem.<\/p><\/blockquote>\n
Ungesch\u00fctzte IoT-Ger\u00e4te<\/h3>\n
Auch das immer mehr von Privatanwendern genutzte Internet der Dinge sorgt f\u00fcr Gefahren. Ein nicht gepatchter oder falsch konfigurierte Router \u00f6ffnet Hackern T\u00fcr und Tor zu ihren Computern. Angreifer suchen \u00fcber das Internet maschinell und automatisch nach Routerschwachstellen und den jeweiligen installierten Systemen. Dank spezieller Tools haben sie nicht viel Arbeit damit und k\u00f6nnen automatisch sowie rentabel eine gro\u00dfe Menge von Systemen angreifen.
\nNoch h\u00e4ufiger sind jedoch unzureichend gesch\u00fctzte oder falsch konfigurierte Netzwerkspeicherger\u00e4te (Network Attached Storage\/NAS). In j\u00fcngster Zeit geraten zum Beispiel Nutzer von QNAP<\/a> NAS-Ger\u00e4ten vermehrt ins Visier der Angreifer. Diese machen sich entweder ungesch\u00fctzte Freigaben oder Sicherheitsl\u00fccken im Produkt selbst zunutze.<\/p>\nAbhilfe: Sicherheitsbewusster Einkauf.<\/em> Generell gilt: Wer solche Hardware nutzt, sollte stets die Sicherheitsempfehlungen des Herstellers beachten und die Firmware immer auf dem neuesten Stand halten. Wenn es beides oder auch Sicherheitszertifikate nicht gibt, sollte man solche Systeme lieber nicht kaufen. Gibt es Grund zur der Annahme, dass Angreifer eine Zero-Day-Schwachstelle ausnutzen, sollten Benutzer das Ger\u00e4t hinter einer Firewall sch\u00fctzen und vom Internet isolieren, bis es eine Abhilfe f\u00fcr das Problem gibt.<\/p><\/blockquote>\n
Tech-Support-Betrug<\/h3>\n
Ein weiterer Weg, Ransomware zu verbreiten, ist der so genannten Tech-Support-Betrug. Hierbei haben es Betr\u00fcger besonders auf \u00e4ltere Menschen und andere gef\u00e4hrdete Zielgruppen abgesehen. Sie \u00fcberzeugen ihre Opfer davon, dass sie technische Hilfe ben\u00f6tigen und ihnen zu diesem Zweck Fernzugriff auf ihre Computer gew\u00e4hren m\u00fcssen.<\/p>\n
Tech-Support-Betr\u00fcger kommen bei ihren Ransomware-Angriffen ganz ohne eigentliche Ransomware aus. Sie nutzen stattdessen Syskey, eine inzwischen nicht mehr unterst\u00fctzte Komponente von Windows NT, die die Datenbank des Security Account Manager (SAM) mit einem 128-Bit-RC4-Schl\u00fcssel verschl\u00fcsselt. Sie wurde erst Jahrzehnte sp\u00e4ter mit Windows 10 eingestellt, weil ihre Verschl\u00fcsselung nicht mehr sicher war und sie zudem immer wieder f\u00fcr Ransomware-Angriffe missbraucht wurde.<\/p>\n
Aber Anwender sollten sich nicht t\u00e4uschen lassen: Support-Betr\u00fcger nutzen stattdessen echte Ransomware und sie lassen sich keine Gelegenheit entgehen, Ihre Daten zu verschl\u00fcsseln.<\/p>\n
Abhilfe: Vorsicht.<\/em> Misstrauen ist die halbe Miete, um solche Angriffe zu verhindern. Der gesunde Menschenverstand sagt: In der Regel erkennt man Probleme am PC als erstes selbst und ein Anruf von jemand unbekannten ist mehr als ungew\u00f6hnlich. Seri\u00f6se Anbieter klopfen nicht ungefragt bei Verbrauchern an. Wer \u00e4ltere oder aber auch jugendliche Personen kennt, sollte darauf hinweisen, dass man solche Kontakte von vornherein besser abblockt. Bei Problemen ist der Herstellersupport oder das Fachgesch\u00e4ft die richtige Wahl.<\/p><\/blockquote>\n
Ratschl\u00e4ge von Palo Alto Networks<\/h2>\n
Sicherheitsanbieter Palo Alto Networks verfolgt mit seiner Unit42 die Ukraine-Krise und die Zunahme der russischen Cyberaktivit\u00e4ten in diesem\u00a0Blog-Beitrag<\/a>. Dort r\u00e4t der Anbieter Unternehmen, Ma\u00dfnahmen in den folgenden vier Bereichen zu priorisieren:<\/p>\n
\n
- Ausgenutzte Schwachstellen patchen:<\/b> Unternehmen sollten Patches installieren f\u00fcr jede Software, die Sicherheitsl\u00fccken enth\u00e4lt \u2013 nicht nur f\u00fcr solche, von denen bekannt ist, dass sie in freier Wildbahn ausgenutzt werden. Am dringendsten ist dies bei Software, die mit dem Internet verbunden und f\u00fcr den Betrieb des Unternehmens notwendig ist, wie Webmail, VPNs und andere Fernzugriffsl\u00f6sungen.<\/li>\n
- Vorbereitet sein auf Ransomware und\/oder Datenzerst\u00f6rung:<\/b> Bei einer wahrscheinlichen Form eines st\u00f6renden Cyberangriffs wird entweder Ransomware zum Einsatz kommen oder es wird ein zerst\u00f6rerischer Angriff stattfinden, der sich als Ransomware ausgibt. Wie bei den NotPetya-Angriffen im Jahr 2017 und den WhisperGate-Angriffen im letzten Monat zu beobachten war, handelt es sich bei einem Angriff, bei dem L\u00f6segeld gefordert wird, m\u00f6glicherweise gar nicht um klassische \u201eRansomware\". Die bei diesen Angriffen verwendete Malware zerst\u00f6rte Daten ohne jede Chance auf Wiederherstellung und nutzte die L\u00f6segeldforderung lediglich zur Verschleierung ihrer wahren Absicht. Die Vorbereitungen, die zur Verhinderung dieser Angriffe und Wiederherstellung erforderlich sind, sind in beiden F\u00e4llen \u00e4hnlich. Das Testen von Backup- und Wiederherstellungspl\u00e4nen ist von entscheidender Bedeutung. Dies gilt ebenso f\u00fcr das Testen des Plans zur Aufrechterhaltung der Betriebsabl\u00e4ufe f\u00fcr den Fall, dass das Netzwerk oder andere wichtige Systeme durch einen Angriff deaktiviert werden.<\/li>\n
- Bereit sein, um schnell zu reagieren:<\/b> Unternehmen sollten ihre Krisenreaktionsprozesse nicht erst in der Hitze des Gefechts, also einer tats\u00e4chlichen Krise, testen. Daher gilt es f\u00fcr den Fall eines Cybersicherheitsvorfalls oder einer Unterbrechung der kritischen Infrastruktur in den wichtigsten Bereichen Ansprechpartner zu benennen. Unternehmen m\u00fcssen ihr Kommunikationsprotokoll (und ihre Sicherungsprotokolle) testen, um zu vermeiden, dass sie ohne einen klaren Mechanismus zur Verbreitung wichtiger Informationen dastehen. Sinnvoll ist es, eine Table-Top-\u00dcbung mit allen wichtigen Beteiligten durchzuf\u00fchren und durchzuspielen, wie im Falle des Falles zu reagieren w\u00e4re.<\/li>\n
- Netzwerk sperren: <\/b>Kleine \u00c4nderungen der Richtlinien k\u00f6nnen die Wahrscheinlichkeit eines erfolgreichen Angriffs auf das Netzwerk verringern. Bei den j\u00fcngsten Angriffen wurden beliebte Chat-Anwendungen wie Trello und Discord missbraucht, um b\u00f6sartige Dateien zu verbreiten. Die Angreifer nutzten einfach die Plattformen, um Links zu den Dateien zu hosten, ohne dass die Benutzer die Software verwenden mussten. Viele Anwendungen k\u00f6nnen auf diese Weise missbraucht werden. Wenn Unternehmen diese Funktionen nicht ben\u00f6tigen, k\u00f6nnen sie diese blockieren, um die Sicherheit zu erh\u00f6hen.<\/li>\n<\/ol>\n
Palo Alto hat noch drei weitere Informationsressourcen verlinkt: <\/em><\/strong><\/p>\n
\n
- Einzelheiten zum Shields Up<\/a>-Programm der amerikanischen CISA<\/li>\n
- Dieser Blog von Unit 42 berichtet \u00fcber die j\u00fcngsten Aktivit\u00e4ten der Gamaredon-Gruppe<\/a>, einer Gruppe, die von der Ukraine mit dem FSB in Verbindung gebracht wird. Der Bericht dokumentiert die Angriffe auf ein ausl\u00e4ndisches Regierungsb\u00fcro in der Ukraine. Hatte ich im Blog-Beitrag Russische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a> thematisiert.<\/li>\n
- Threat Brief<\/a> von Unit 42 \u00fcber den Cyberkonflikt zwischen Russland und der Ukraine<\/li>\n<\/ul>\n
\u00c4hnliche Artikel:<\/strong>
\nRussische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a>
\nCyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls<\/a>
\nMassiver Cyberangriff auf Webseiten in der Ukraine & Wiper Malware gefunden (23.2.2022)<\/a>
\nCyberangriff auf axis.com best\u00e4tigt (23. Feb. 2022)<\/a>
\nActive Directory vor Ransomware-Attacken sch\u00fctzen<\/a>
\nKleiner Forensik-Leitfaden von Marko Rogge als Download<\/a>
\nCyberkrieg bedeutet Kontrollverlust<\/a>
\nAngriffe auf die Software-Lieferketten in der Cloud versch\u00e4rfen Bedrohungslage f\u00fcr Unternehmen<\/a>
\nGartner: 30% aller KRITIS-Organisationen erleiden bis 2025 eine Sicherheitsverletzung<\/a>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nKaseya: Decryption-Key aufgetaucht, Backup-Update schlie\u00dft Schwachstellen<\/a>
\nMicrosoft Insides zum SolarWinds Orion SunBurst-Hack<\/a>
\nPasswordstate Passwort-Manager per Lieferkettenangriff gehackt (April 2021)<\/a><\/p>\nSolarWinds-Angreifer nehmen Microsoft-Partner ins Visier \u2013 fehlende Cyber-Sicherheit bem\u00e4ngelt<\/a><\/h4>\n","protected":false},"excerpt":{"rendered":"
Mit dem russischen Einmarsch in die Ukraine und den von westlichen L\u00e4ndern gegen Russland verh\u00e4ngten Sanktionen gehen Sicherheitsforscher davon aus, dass k\u00fcnftig Cyberangriffe auf US-amerikanische und westeurop\u00e4ische Unternehmen und Institutionen als Vergeltung stattfinden. Nachfolgend einige aus verschiedenen Quellen zusammengetragenen Informationen, … Weiterlesen