Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichtes Themenpapier zum Thema Ransomware zeigte bereits Mitte März 2016 auf, dass Hacker-Angriffe mit Ransomware immer zahlreicher auftreten. Laut der Untersuchung des BSI hat die deutsche Wirtschaft stark unter solchen Trojanern zu leiden: Ein Drittel aller Unternehmen war demnach in den letzten sechs Monaten von Ransomware betroffen. Jetzt hat das BSI ein ausführliches Lagedossier veröffentlicht, das die aktuelle Situation im Hinblick auf diese Bedrohung darstellt.
Eine Analyse der Daten aus Deutschland zeigt, dass sich die Bedrohungslage im Vergleich zum vergangenen Herbst verschlimmert hat: Zwischen Januar und Mai 2016 stieg der Anteil der Erpresser-Malware um gut 70 Prozent - alleine beim Angriffsvektor E-Mail. Eine weitere Bedrohung stellen Exploit Kits dar, mit denen sogenannte Drive-by-Angriffe ausgeführt werden. Diese versuchen, Schwachstellen auf einem Client-System zu finden, um dann Schadprogramme zu installieren. Die Exploit-Kits, von denen laut BSI-Dossier in Deutschland die größte Gefahr ausgeht, heißen unter anderem "Angler", "Neutrino" und "Nuclear". All diese Kits werden von Hackern auch dazu genutzt, Ransomware zu verbreiten.
Die gefährlichste Malware 2015
CTB Locker
Beim CTB-Locker handelt es sich um eine Kombination von Krypto- und Ransomware. Das Programm verschlüsselt die Dateien der betroffenen Unternehmen. Anschließend verlangen die Cyber-Kriminellen 3 Bitcoins (ca. 360 Dollar) Lösegeld für die Freigabe. Die Infizierung erfolgt in den meisten Fällen über eine E-Mail, die von der Adresse eines Firmenangestellten aus an das Management geschickt wird.
Angler Exploit Kit
Exploit Kits gelangen über schadhafte Websites in das Netzwerk. Sie suchen nach Schwachstellen auf Webservern und nutzen diese zur Platzierung von Ransomware. Problematisch ist hierbei, dass Exploit Kits ihre Landing Page häufig wechseln, um IPS-Detection zu vermeiden.
Volatile Cedar
Volatile Cedar (explosive Zeder) ist wahrscheinlich eine im Libanon verwurzelte Hacker-Gruppe. Als Hintergrund ihres Handels können politische Gründe angenommen werden. Bereits seit 2012 attackiert die Malware-Kampagne Einzelpersonen, Unternehmen und Institute weltweit.
AAEH/Beebone
Es handelt sich hierbei um Schadsoftware, die weitere Malware nachlädt. Darunter befinden sich unter anderem Password Stealers, Rootkits, gefälschte Antivirus-Programme und Ransomware. AAEH wird unter anderem über Netzwerke, bewegliche Datenträger oder .zip- und .rar-Dateien verbreitet. Die Schadsoftware ändert ihre Form, sobald sie einmal installiert wurde und verteilt sich mit großer Geschwindigkeit über das gesamte System. Sie stiehlt Zugangsdaten für Online-Services wie Bank-Accounts und erpressen mit Datenverschlüsselung Geld von den Betroffenen.
Simda
Das Simda Botnet ist ein Netzwerk von infizierten Computern. Malware aus diesem Botnet verbreitet sich selbstständig. Bereits 770.000 Geräte wurden weltweit angegriffen. Seit 2009 attackieren Cyber-Kriminelle einzelne Geräte mit Schwachstellen und infizieren sie mit der Simda-Malware. Diese leitet Benutzer auf schädliche Websites weiter und lädt zusätzliche Malware herunter. Die Hacker steuern das kompromittierte System von außen und führen weitere Attacken aus oder verkaufen die Steuerung an andere Cyber-Kriminelle.
Logjam
Der Angriff richtet sich auf den Diffie-Hellman-Key, der für eine sichere Verbindung zwischen zwei Kommunikationspartnern sorgt. Logjam reduziert die Verschlüsselung dieser Verbindung, so dass Hacker Inhalte mitlesen und geteilte Daten modifizieren können.
Matsnu
Matsnu ist eine Schadsoftware, die als Hintertür fungiert, sobald sie ein System infiltriert hat. Sie ist in der Lage, jeden beliebigen Code hochzuladen und auszuführen. Dieser verschlüsselt dann Dateien oder stiehlt sensible Daten. Die Malware kommuniziert über DGA (Domain Generation Algorithm)-Technik mit dem C&C-Server. DGA erschwert das Blocken schadhafter Netzwerkaktivitäten, indem es ständig neue Domains erzeugt.
Certifi-gate
„Certifi-gate“ gewährt Cyber-Kriminellen heimlich uneingeschränkten Zugriff auf ein mobiles Endgerät. Dazu werden Remote Support Apps missbraucht, die in der Regel über solche Rechte verfügen. Bösartige Anwendungen ermöglichen eine Ausweitung der Nutzerrechte und Zugriff auf persönliche Daten durch die Hacker. Dadurch können sie eine Reihe von Aktivitäten einleiten, die normalerweise nur dem Geräteinhaber zur Verfügung stehen. Die Installation von Apps, die Verfolgung des Nutzerstandorts oder die Aufnahme von Gesprächen über das Mikrofon sind nur einige Beispiele.
Sality Gambling Campaign
Sality installiert einen Virus, Trojaner oder Wurm auf einer Festplatte. Es verfügt über Selbstverbreitungsmechanismen, die auf USB-Devices und Netzwerkordner übergreifen. Darüber hinaus kann die Malware Services und Prozesse beenden und ist in der Lage, als Server zu fungieren.
BrainTest
Diese Malware ist in einer Android Game-App namens BrainTest verpackt war. Es wurden bis zu ihrer Entfernung aus dem Google Play Store Mitte September bis zu 500.000 infizierte Apps heruntergeladen. Auch nach deren Deinstallation erschien die Malware kurze Zeit später wieder auf den betroffenen Geräten. Analysen ergaben, dass sie fortschrittliche Techniken verwendet, um die Google Play Malware Detection zu umgehen und die Kontrolle über gehackte Geräte zu behalten. Zu diesem Zweck wird ein Rootkit auf dem Device installiert, das den Download und die Ausführung jedes beliebigen Codes ermöglicht. So kann zum Beispiel Werbung auf Geräten gezeigt oder sensible Daten gestohlen werden.
XCodeGhost
XCodeGhost ist eine kompromittierte Version der iOS Entwicklerplattform XCode. Diese wurde dabei so verändert, dass sie jede App, die mit ihrer Hilfe programmiert wird, mit Malware infiziert. Die verseuchten Apps werden von den Hackern gesteuert und fischen Userdaten oder öffnen spezielle URLs, die Schwachstellen in iOS-Systemen oder anderen iOS-Apps aufspüren und ausnutzen. Sie lesen Daten, wie beispielsweise Passwörter, aus der Zwischenablage aus und versuchen, Credentials aus der iCloud zu stehlen. Die schadhafte Version von XGhost liegt nicht auf iTunes selbst; sie kann nur von anderen Plattformen heruntergeladen werden.
Neue Ansätze für die IT-Sicherheit
Die herkömmlichen Sicherheitsmechanismen werden vielfach von moderner Malware umgangen. Diesem Umstand müssen sich Unternehmen anpassen. Als Basismaßnahmen der IT-Sicherheit empfiehlt das BSI in diesem Zusammenhang regelmäßige und kontinuierliche Updates der Anwendungen in einem Unternehmen, sowie die Etablierung eines Patch-Management-Prozesses. Solche Vorkehrungen helfen dabei, Sicherheitslücken in Software zu schließen, die im Rahmen von Drive-by-Attacken auch zur Installation von Ransomware ausgenutzt werden können.
Laut dem BSI-Dossier müssen Sicherheitsupdates unverzüglich nach deren Bereitstellung durch den jeweiligen Software-Hersteller angewandt werden. Im Unternehmensumfeld sollten sie idealerweise über eine zentrale Software-Verteilung eingespielt werden. Andere Infektionen mit Ransomware können Security-Schwachstellen in Webservern oder Anwendungsservern zugeschrieben werden, die über das Internet erreichbar sind. Auch hier sollten Patch-Management-Prozesse etabliert werden, um Sicherheitslücken schnell zu schließen.
Produkte von Drittanbietern die als Insellösungen in Silos ohne Informationsaustausch laufen, sind ein enormes Hindernis für die effektive IT-Sicherheit von Unternehmen. Die vorhandenen Tools arbeiten in vielen Fällen immer noch isoliert. Aktionen müssen manuell angestoßen werden und die Unternehmen sind weiter auf individuelle, separate Komponenten angewiesen. Die vom BSI empfohlenen Vorkehrungen wie Virenschutzmechanismen, Patch-Management oder Installation von Firewalls werden für die IT-Security-Spezialisten zur Belastung, wenn sie bei der Implementierung solcher Lösungen nicht genügend Unterstützung erhalten.
IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Zentralisierte Incident-Response- und Security-Orchestration als Best Practice
Die jüngsten Ransomware-Angriffe zeigen, dass kein Netzwerk mehr sicher ist. Früher oder später werden Malware und Angreifer immer Wege finden, um Systeme zu kompromittieren. Es ist daher unerlässlich, jeden Endpunkt im Netzwerk zu sehen sobald er sich anmeldet und ihn auf Regelkonformität zu überprüfen. Die Koordinierungsaufgabe lässt sich mit einer Lösung für Next-Generation Network Access Control (NAC) bewältigen. Eine solche Lösung sollte sich idealerweise auch in heterogene und architekturübergreifende Netzwerke integrieren lassen. Dadurch ist sie in der Lage, sofort Sicherheitsinformationen über verschiedene Systeme hinweg auszutauschen, um einheitliche Sicherheitsrichtlinien durchzusetzen. Durch systemübergreifende, automatisierte Reaktionen auf Bedrohungen kann die Lösung die Zahl der Schwachstellen dann verringern.
Solche Methoden können auch private Geräte von Angestellten und Dienstleistern einbeziehen, ebenso wie unkonventionelle Geräte aus dem Internet of Things (IoT). Diese Geräte haben für gewöhnlich keine funktionsfähigen Sicherheitsmanagement-Agenten beziehungsweise können keine unterstützen. Außerdem sollte eine effektive Netzwerksicherheitslösung in der Lage sein, automatisch Geräte, Nutzer, Anwendungen, den aktuellen Patch-Status und die Betriebssysteme zu klassifizieren. Wenn eine Software überholt ist, sollte ein automatisierter Korrekturprozess ausgelöst werden können. In den heutigen komplexen und dynamischen Netzwerken muss eine adäquate Cyber-Sicherheitslösung die Geräte identifizieren, die sich mit dem Netz verbinden, sie klassifizieren, richtlinienbasierte Zugriffskontrollen anwenden und Geräte laufend monitoren - und das, ohne Software-Agenten zu erfordern.
Die Technologie hat sich weiterentwickelt und bietet einen Best-Practice-Ansatz, um die Empfehlungen des BSI umzusetzen. Dank ihrer einzigartigen Fähigkeiten zur Security Orchestration sind die fortschrittlichsten NAC-Lösungen in der Lage, ihre Erkenntnisse mit Drittanbieter-Tools auszutauschen. Durch Evaluierung und Erkennung unautorisierter und potenziell bösartiger Endpunkte kann das NAC-System das Risiko von Datenmissbrauch und Malware-Angriffen enorm reduzieren und ist dabei nicht allein auf seine eigenen Erkenntnisse angewiesen, sondern kann automatisch auch andere Tools einschalten.
Unternehmen müssen auch bedenken, dass in Zukunft noch mehr Geräte auf ihre Netzwerke zugreifen werden. Das ist besonders für die künftigen Sicherheitsbudgets wichtig, wie Gartner bereits in seinem diesjährigen Bericht zur Sicherheit für das Internet der Dinge (IoT) erläutert hat. Das Marktforschungsunternehmen rechnet damit, dass "bis 2020 mehr als 25 Prozent der ermittelten Angriffe in Unternehmen mit IoT-Geräten in Zusammenhang stehen werden, auf das IoT jedoch weniger als 10 Prozent der IT-Sicherheitsbudgets entfallen werden. "
Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Fazit: Prävention und Best Practice
Das Dossier des BSI zeigt, dass Unternehmen mit fortschrittlichen, hartnäckigen und stetig zunehmenden Cyber-Bedrohungen Schritt halten müssen, wie beispielsweise Ransomware. Um das zu erreichen, müssen sie Präventivmaßnahmen ergreifen, wie etwa die regelmäßige und laufende Aktualisierung kritischer Anwendungen und die Etablierung von Patch-Management-Prozessen. Zudem sollten sie eine ganzheitliche Best-Practice-Lösung einsetzen, die ihre Netzwerke überwacht und die einzelnen Sicherheitslösungen koordiniert, damit relevante Informationen ausgetauscht und Datensilos mit Sicherheitsinformationen ausgeräumt werden können. Dies wird den IT-Sicherheitsfachleuten mehr Zeit geben, sich auf die kritischen Probleme zu konzentrieren, ohne von Fehlalarmen überschwemmt zu werden. (fm)
So binden Sie Ihre IT-Sicherheitsexperten
Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.