Cyber-Security: So vermeiden Unternehmen ihr eigenes »Baltimore«

https://pixabay.com/de

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyberangriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium.

Ransomware ist eine perfide Kryptografie-Anwendung: Die Software verschlüsselt Daten und fordert für deren Entschlüsselung ein Lösegeld. Jüngstes Opfer einer solchen Attacke ist Baltimore, die amerikanische Stadt befindet sich seit Mai in einem Ausnahmezustand: Cyberkriminelle haben rund 10.000 Rechner in Ämtern und städtischen Einrichtungen mit »Robin Hood« infiziert, der Verschlüsselungstrojaner blockiert den Zugriff auf die Computer. Weitere Teile der Infrastruktur wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Seitdem ist das städtische E-Mail-System lahmgelegt, es können keine Rechnungen mehr verschickt oder Grundstückverkäufe abgewickelt werden, auch das Gesundheitswesen funktioniert nur eingeschränkt.

Illustration: Absmeier

Während Robin Hood, Held englischer Balladen, als Vorkämpfer für soziale Gerechtigkeit gilt, der den Reichen nimmt und den Armen gibt, geht es den Cyberkriminellen nur um ihren eigenen Profit. Sie erpressen die Stadt mit Lösegeldforderungen, die in der Währung Bitcoin gezahlt werden sollen. Der Bürgermeister will allerdings nicht auf die Forderungen eingehen. »Gut so, denn es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder freigegeben werden«, erklärt Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Im Gegenteil: Wer Zahlungsbereitschaft signalisiere, werde oftmals mit noch höheren Geldforderungen erpresst.

Für den Angriff auf Baltimore haben die Täter laut einem Bericht der New York Times das NSA-Tool »EternalBlue« genutzt [1]. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme aber abhanden und wurde von einer Gruppe anonymer Hacker, die sich »The Shadow Brokers« nannten, stückweise veröffentlicht. Seitdem wurden die Tools immer wieder für Angriffe genutzt, das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner »WannaCry«, der im Mai 2017 mehr als 300.000 Rechner in rund 150 Ländern infizierte. In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

»Dass Hacker ein gestohlenes NSA-Tool einsetzen, ist die eine Sache. Die größere Frage ist doch: Wie kann es sein, dass Städte, Behörden, aber auch Unternehmen ihre Systeme bis jetzt noch nicht gegen diese Schwachstelle abgesichert haben?«, betont Jochen Koehler. Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen zur Verfügung gestellt. »Die Sicherheitslücke ist also längst geschlossen und trotzdem konnten Hacker 2019, also zwei Jahre später, die Stadt Baltimore verwaltungstechnisch lahmlegen.« Die Gründe dafür sind unterschiedlich: Bequemlichkeit, fehlende Kapazitäten oder eine über die Zeit gewachsene und dadurch unübersichtlich gewordene IT-Infrastruktur. Auch die Administratoren in Baltimore kämpfen offenbar mit einem Gewirr an Software, veralteten Servern und Netzwerken, die über die Stadt verstreut sind.

»Nun muss man ehrlicherweise zugeben, selbst ein perfekt umgesetztes Vulnerability Patch Management bietet angesichts der horrenden Zahl potenzieller Sicherheitslücken keinen hundertprozentigen Schutz«, so Jochen Koehler weiter. »Das liegt schon in der Tatsache begründet, dass herkömmliche Lösungen nur bekannten Schadcode aufspüren können. Vielmehr sollten Unternehmen deshalb darüber nachdenken, die Angreifer ins Leere laufen zu lassen.« Möglich wird das durch Applikations-Isolation mittels Micro-Virtualisierung. Einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs finden in einer eigenen Micro-Virtual Machine (VM) statt – strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Damit bleiben mögliche Schädigungen immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu, alt oder aggressiv das Schadprogramm ist. Zudem wird die VM nach dem Beenden einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, einfach gelöscht.

Der aktuelle Ransomware-Angriff zeigt, wie verwundbar digitale Systeme sind. Nehmen Cyberkriminelle kritische Infrastrukturen ins Visier, geht es oftmals nicht mehr darum, Geld zu erpressen, sondern zu sabotieren: den Strom auszuschalten, die Wasserversorgung zu manipulieren, die Kommunikation zu stören. Die Folgen sind dramatisch. »Viel zu verlieren haben aber auch ganz normale Unternehmen: Steht der Geschäftsbetrieb über einen längeren Zeitraum still, weil man nicht mehr auf wichtige Daten zugreifen kann, ist im schlimmstenfalls die Existenz zerstört«, erklärt Jochen Koehler. »Auf keinem Fall sollte man sich in Sicherheit wiegen, nach dem Motto ›mir passiert schon nichts‹. Jedem kann sein ganz eigenes ›Baltimore‹ drohen.«

[1] https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

 

Baltimore ist »Smart City ready« – wirklich?

https://pixabay.com/de

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder einmal zeigt sich, dass nicht gepatchte Systeme zu den größten Sicherheitsgefahren gehören. Die Herstellung einer Cyber-Security-Hygiene mit elementaren Sicherheitsmaßnahmen darf nicht am Geld scheitern, sagt NTT Security, ansonsten wird auch die Umsetzung ambitionierter Smart-Society-Ziele am Misstrauen des Bürgers scheitern.

Bei der Stadtverwaltung Baltimore haben Hacker unter Nutzung eines Verschlüsselungstrojaners zugeschlagen, der erneut die Windows-Schwachstelle »EternalBlue« nutzt. Sie wurde von Microsoft aber bereits 2017 mit Updates aller betroffenen Windows-Versionen geschlossen.

Diskutiert wird im Fall Baltimore zum wiederholten Male die unglückliche Rolle der NSA, die die Sicherheitslücke ursprünglich entdeckte und mehrere Jahre für eigene Zwecke nutzte. Schön und gut, aber die Diskussion geht jetzt am eigentlichen Problem vorbei.

Illustration: Absmeier

Der Fall Baltimore verdeutlicht vielmehr zweierlei: Zum einen wird oft erst dann gehandelt, wenn ein Sicherheitsvorfall eingetreten ist – das betrifft Behörden und Unternehmen gleichermaßen. Zum anderen zeigt Baltimore, an welchem Punkt vielfach die eigentlichen Probleme in der IT-Sicherheit liegen. Es sind nicht die hochkomplexen neuesten Angriffsszenarien, die auf innovativen KI-basierten Verfahren fußen, sondern bekannte Schwachstellen, für die immer noch keine ausreichenden Sicherheitsmaßnahmen ergriffen werden.

»Bevor also kostenintensiv in neueste Sicherheitstechnologien investiert wird, sollten zunächst einmal die grundlegenden Hausaufgaben erledigt werden – und die beginnen bei der Herstellung einer Cyber-Security-Hygiene mit elementaren Sicherheitsmaßnahmen wie Netzwerksegmentierung, Datenverschlüsselung oder Patch Management«, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Vor allem das Patch Management ist von grundlegender Bedeutung, wie das Beispiel Baltimore eindrucksvoll belegt. Bei einem Großteil aller Sicherheitsvorfälle sind nach Erfahrungswerten von NTT Security Verwundbarkeiten ungepatchter Systeme und Anwendungen im Spiel. Viele Angriffe und Schäden der vergangenen Jahre, etwa mit Wannacry oder Petya, hätte man so problemlos verhindern können.

»Und was die ganze Geschichte noch pikanter macht«, so Grunwitz, »Baltimore hat ambitionierte Ziele in Richtung Smart City. Erst im April 2019 wurde die Stadt auch als einer von fünf Gewinnern der ›Smart Cities Readiness Challenge‹ in den USA gekürt.« Baltimore verfolgt also prinzipiell einen zukunftsgerichteten Weg. Dabei darf aber der letztlich ausschlaggebende Punkt nicht übersehen werden. »Grundvoraussetzung für die erfolgreiche Umsetzung von Smart-Society-Modellen wie Smart Mobility, Smart Healthcare oder auch Smart City ist immer die gesellschaftliche Akzeptanz und das Vertrauen jedes einzelnen Bürgers in die Sicherheit«, betont Grunwitz. Und dabei reiche es nicht, eine Smart City mit einer hochmodernen Infrastruktur und neuesten Technologien aufzubauen, die auch von Anfang an im Sinne eines Security-by-Design-Ansatzes auf Sicherheit getrimmt ist. Wenn dann nämlich das Smart Government von Baltimore in der IT auf Altgeräten und nicht gepatchten Systemen basiert, wird das Grundvertrauen des Bürgers stark erschüttert und kann nur schwer wiederhergestellt werden. Auch neue innovative Modelle werden damit nicht auf die erforderliche gesellschaftliche Akzeptanz stoßen.

Was bleibt nach Meinung von NTT Security also zu tun? »Baltimore zeigt zum wiederholten Male, dass das Thema Cyber-Security von elementarer Wichtigkeit ist. Investitionen in die IT-Sicherheit zu unterlassen oder zurückzustellen ist – zugespitzt formuliert – fast verantwortungslos«, so Grunwitz. »Und ohne Cyber-Security-Hygiene ist auch das neue Gesellschaftsmodell Smart Society nur schwer zum Erfolg zu führen.«

 

202 search results for “ Cyber-Security“

Lediglich 65 Prozent der Unternehmen haben einen Cyber-Security-Spezialisten

Obwohl 95 Prozent der CIOs in den kommenden drei Jahren einen Anstieg an Cyberbedrohungen erwarten, haben derzeit nur 65 Prozent ihrer Unternehmen einen Cyber-Security-Experten – zu diesem Ergebnis kommt eine aktuelle Umfrage des Research- und Beratungsunternehmens Gartner. Die Umfrage zeigt auch, dass Unternehmen, die sich digitalisieren, nach wie vor mit der Suche nach qualifiziertem Personal…

Zögerliche Umsetzung industrieller Cyber-Security-Maßnahmen

Fast zwei Drittel der befragten Firmen haben keine Überwachung verdächtiger Vorgänge. Industrielle Unternehmen implementieren Cyber-Security-Maßnahmen zum Schutz ihrer Daten und Betriebe nur schleppend, obwohl Angriffe weltweit zunehmen. Die Studie »Putting Industrial Cyber Security at the Top of the CEO Agenda« wurde von LNS Research erstellt und von Honeywell unterstützt [1]. Es wurden 130 strategische Entscheidungsträger…

Unternehmen ist Produktivität wichtiger als Cyber-Security

Trotz jüngster globaler Cyberattacken besteht für IT-Teams interner Druck, Sicherheitsmaßnahmen zu limitieren, um nicht die Produktivität zu beeinträchtigen. So lautet das beunruhigende Ergebnis einer Untersuchung des Sicherheitssoftware-Anbieters Bromium [1].   Auf der Infosecurity Europe Mitte 2017 in London hat Bromium 175 IT-Verantwortliche zu Themen rund um die Sicherheit in ihrem Unternehmen befragt. Dabei hat sich…

9 Cyber-Security-Trends

Erhöhter Anpassungsdruck für bisherige Cyber-Security-Strategien. 2017 im Zeichen der Cloud Security. Paradigmenwechsel erforderlich: Cyber Security muss als Business Enabler gesehen werden, nicht als Kostentreiber. Was sind die Top-Themen der Cyber Security in den nächsten Monaten? Klar ist: Wir gehen einem Zeitalter signifikanter Datenverletzungen entgegen. Konsequenz: Dem Top-Management kommt nach Auffassung von TÜV Rheinland mehr denn…

Praxishilfe zur EU-Verordnung elDAS

Fragen und Antworten zu den wichtigsten Aspekten für Diensteanbieter und Anwender. Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich…

Hackerangriffe: Lautlos durch die Hintertür

Welche Maßnahmen präventiv gegen Hackerangriffe helfen und was müssen Unternehmen im Ernstfall beachten? Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser digitalen Welt lauern Gefahren. Neben technischen Problemen, Feuer oder Wasser gibt es eine Bedrohung, die mit einer Absicht handelt: Hacker. Warum sie eine Gefahr darstellen und was Unternehmen ganz…

Zeit zu handeln: CIOs müssen Entwickler-Teams entlasten

DACH-Unternehmen hinken dem globalen Trend hinterher. Während Low-Code inzwischen vielerorts zum Mainstream geworden ist, sollte eine aktuelle Studie von OutSystems CIOs zum Nachdenken anregen. Seinen State of Application Development-Report bringt der Low-Code-Anbieter bereits zum sechsten Mal in Folge heraus [1]. Die Umfrage fand unter mehr als 3.300 IT-Experten weltweit statt.   Wachsende Backlogs Eine der…

Internetnutzer brauchen mehr Aufklärung ihrer IT-Sicherheit

  Nur jeder Dritte weiß die eigenen Geräte zu sichern. Bitkom gibt Tipps und veröffentlicht Studienbericht zu Sicherheit im Internet.   Beim Thema IT-Sicherheit gestehen sich viele Onliner geringes Wissen zu. Nur ein Drittel (34 Prozent) der Internetnutzer fühlt sich selbst in der Lage, ihre internetfähigen Geräte ausreichend vor Angriffen zu schützen. Das ist das…

Online-Zahlungsdienste: Wann ist »sicher« sicher genug?

Banken und Finanzdienstleister müssen ihre Transaktionsdienste ab September 2019 durch Verschlüsselung und Zwei-Faktor-Authentifizierung absichern. Doch um sensible Daten zuverlässig zu schützen, sollten Unternehmen mehr tun als das.   Online bezahlen war noch nie so einfach: Die EU-Richtlinie PSD2 (»Payment Services Directive 2«) mischt bereits seit Anfang 2018 die Payment-Branche auf. Sie erlaubt Unternehmen, auf Daten…

Cyberkriminalität: Angreifer nehmen Führungskräfte ins Visier, warnt der Data Breach Investigations Report 2019

Das C-Level-Management wird zielgerichtet und proaktiv von Social-Engineering-Angriffen erfasst. Diese Entwicklung steht im Zusammenhang mit einem Anstieg von wirtschaftlich motivierten Social-Engineering-Angriffen. Die Kompromittierung von webbasierten E-Mail-Konten nimmt zu, in 98 Prozent der Fälle durch gestohlene Anmeldeinformationen. In 60 Prozent der Attacken, bei denen eine Webanwendung angegriffen wurde, handelte es sich um webbasierte E-Mail-Konten. Ein Viertel…

Beruf Hacker: Wie man ohne Hochschulstudium ein Master-Hacker wird 

In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community. Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und…

Bots kosten Unternehmen durchschnittlich 4 Millionen Dollar im Jahr

Neue Forschungsergebnisse zeigen finanzielle Verluste durch Credential Stuffing auf. Credential Stuffing setzt darauf, dass Nutzer für verschiedene Konten, Anwendungen und Services dieselbe Kombination aus Nutzername und Passwort verwenden. Cyberkriminelle nutzen gestohlene Kontodetails von einer Plattform und setzen Bots ein, um sich mit diesen Daten bei unzähligen anderen Plattformen anzumelden. Haben sie es einmal geschafft, nutzen…

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Die Steuererklärung steht an – und Cyberkriminelle in den Startlöchern

Steuerzahler und Steuerberater sind gehalten vertrauliche Informationen zu schützen. Bei einer Zertifizierungsstelle wie GlobalSign konzentriert sich alles auf ein Ziel – Identitäten zu schützen. Wenn also in den nächsten Wochen die Steuererklärung ansteht, sind wir uns nur allzu sehr bewusst wie schnell betrügerische Aktivitäten den Abgabezeitraum zum Alptraum machen können. Eine 2017 veröffentlichte Studie von…