Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit einen Schritt zurück in Richtung Flaschenpost und Brieftaube. Wer sich nicht an die Richtlinie hält, wird blockiert.

 

Doch zurück auf Anfang: Öffentliche Verwaltungen stecken in einer richtigen Zwickmühle, da sie darauf angewiesen sind, mit persönlichen Daten zu arbeiten, diese zu empfangen und auch abzuspeichern. Somit sind sie längst ins Visier von Cyberkriminellen gerückt. Statt potenzielle Gefahrenquellen zu blockieren, ist es allerdings die bessere Lösung, den Angriff durch Micro-Virtualisierung zu isolieren und damit ins Leere laufen zu lassen. Die Mitarbeiter können bei dieser Lösung wie gewohnt und ohne irgendeine Einschränkung arbeiten – gleichzeitig löst die Isolation aller riskanten Anwenderaktivitäten das Problem herkömmlicher IT-Security-Tools: Sie sind bei neuen Schadprogrammen eigentlich wirkungslos.

Anzeige

Jochen Koehler, Regional VP Sales Europe bei Bromium in Heilbronn

 

Hackerangriffe via Microsoft Office an der Tagesordnung

Laut Internet Security Report Q3/2019 ist die von E-Mail-Anhängen ausgehende Gefahr präsenter denn je.

Anzeige

Illustration: Absmeier, Pialine

Wie der aktuell veröffentlichte WatchGuard Internet Security Report für das dritte Quartal 2019 belegt, sollte bei per E-Mail eingehenden Word-, RTF- oder anderen Office-Dokumenten weiterhin besondere Vorsicht gelten. Diesmal haben es gleich zwei einschlägige Malware-Varianten in die Top 10 geschafft. Die Nase vorn hat dabei ein Angriffsversuch, der auf einer Schwachstelle des Word-Formeleditors basiert. Dieser ermöglicht es Hackern beliebigen Code auszuführen, sobald das manipulierte Dokument geöffnet wird. Sowohl hinsichtlich der Gesamtmenge als auch der Verbreitung solch Office-basierter Übergriffe wurden dabei im dritten Quartal neue Bestmarken erreicht: Neben der Anzahl entsprechender Attacken verdoppelte sich auch der Adressatenkreis im Vergleich zum Vorquartal. Die Übermittlung erfolgte in der Mehrzahl aller Fälle per E-Mail. Daher wird es gerade für Unternehmen immer wichtiger, ihre Mitarbeiter gezielt zu sensibilisieren. Schulungen und Aufklärungsinitiativen können dazu beitragen, dass Anwender solche und andere Übergriffe sowie Phishing-Versuche besser erkennen.

Die Ergebnisse des WatchGuard Internet Security Reports basieren auf anonymisierten Firebox-Feed-Daten von knapp 37.000 aktiven WatchGuard UTM-Appliances weltweit, deren Anwender dem Daten-Sharing zugestimmt haben. Insgesamt blockierten diese im dritten Quartal dieses Jahres über 23 Millionen Malware-Varianten (623 pro Gerät) und rund 2,4 Millionen Netzwerkangriffe (65 pro Gerät).

 

Malware-Attacken und Netzwerkangriffe nehmen zu

Neben der generellen Verschärfung der Bedrohungslage im Hinblick auf die Häufigkeit von Malware und Netzwerkangriffen fällt vor allem die Zunahme der sogenannten Zero-Day-Malware auf, die auf bisher unbekannte und somit ungepatchte Sicherheitslücken in Softwareanwendungen setzt. Nachdem sich der Anteil solcher Malware-Varianten in den letzten Quartalen bei 38 Prozent eingependelt hatte, stieg er diesmal auf 50 Prozent an. Traditionelle, signaturbasierte Sicherheitslösungen bieten in dem Zusammenhang keinerlei Abwehrmöglichkeiten. Gerade vor dem Hintergrund des signifikanten Anstiegs dieser Gefahr wird die Notwendigkeit von mehrschichtigen Sicherheitsdiensten deutlich. Nur so kann fortgeschrittenen, sich ständig weiterentwickelnden Bedrohungen Einhalt geboten werden.

»Unsere neuesten Erkenntnisse belegen, dass die Spielwiese der Hacker immer größer wird. Ihre Methoden sind von zunehmend mehr Raffinesse geprägt. Von bekannten Erfolgskonzepten bei Angriffen bis hin zu trickreichen neuen Malware-Kampagnen – Cyberkriminelle nutzen jede sich bietende Gelegenheit. Im Fokus stehen dabei insbesondere Anwendungen oder Domains, die wir tagtäglich nutzen, und Angreifer setzen alles daran, diese für ihre Zwecke zu instrumentalisieren«, so Corey Nachreiner, Chief Technology Officer bei WatchGuard Technologies. »Da sich die Taktiken immer wieder ändern, können wir Unternehmen nur raten, sich selbst, ihre Kunden und Partner mit modernen, mehrschichtigen Sicherheitsdiensten zu schützen. Das Security-Konzept sollte dabei ganzheitlich aufgesetzt sein und alle Aspekte beachten – vom Kernnetzwerk über die Endpunkte bis hin zu den Benutzern selbst.«

IT-Profis bietet der Report eine detaillierte Analyse der wichtigsten Trends in Bezug auf Malware- und Netzwerkangriffe sowie stichhaltige Übersichten zu Malware-lastigen Domains, kompromittierten Webseiten und Phishing-Links. So wird beispielsweise auch auf Apache Struts-Schwachstellen aufmerksam gemacht, die es im Zuge des Equifax-Vorfalls in jüngster Vergangenheit in die Schlagzeilen geschafft haben. Ergänzt wird diese Aufarbeitung wie immer von zahlreichen Tipps und Best-Practices, die Unternehmen dabei helfen, sich gegenüber der aktuellen Bedrohungslage effektiv abzusichern.

Last but not least wirft das WatchGuard Threat Lab einen genauen Blick auf die HTTPS-Entschlüsselungskampagne von Kasachstan und ähnliche Initiativen anderer Länder zur Überwachung des Datenverkehrs. In dem Zusammenhang werden nicht nur die Besonderheiten der HTTPS-Verschlüsselung und -Entschlüsselung im Detail erläutert. Auch die Bedeutung der HTTPS-Verschlüsselung für die Sicherheit von Unternehmensnetzwerken arbeiten die WatchGuard Security-Experten klar heraus – inklusive spezifischer Handlungsempfehlungen.

[1] Der vollständige Bericht steht hier zum Download zur Verfügung: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2019 

Trägheit bei IT-Security macht Microsoft-Office-Schwachstelle zum Einfallstor für Cyberangriffe

Jörg von der Heydt, Channel Director DACH bei Skybox Security, kommentiert die Microsoft-Office-Schwachstelle CVE-2017-8570 und mögliche Lösungsansätze.

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt – ob privat oder im beruflichen Umfeld.

Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in ihren Unternehmen geht: Studien verdeutlichen, dass ein Großteil der Angestellten sich nicht regelmäßig über IT-Sicherheit Gedanken macht. Ein signifikanter Anteil ist sogar der Auffassung, dass die Prävention von Sicherheitsbedrohungen nicht in seinen Aufgabenbereich falle – obwohl man sich über die rechtlichen Folgen eines Datendiebstahls im Klaren ist. Bei einem Verstoß gegen die DSGVO müssen Unternehmen beispielsweise mit Bußgeldern in Höhe bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes weltweit rechnen.

Daten-Leaks können langfristige, verheerende Folgen für den Ruf eines Unternehmens haben – wie man es beispielsweise bei Giganten wie Facebook beobachten kann. Dabei gibt es einfache Präventionsmaßnahmen, die vor Datendiebstahl schützen.

Microsoft-Office-Schwachstelle CVE-2017-8570

Die kürzlich erneut ausgenutzte Microsoft-Office-Schwachstelle CVE-2017-8570 ist ein gutes Beispiel für einen Exploit, der potenziell dramatische Folgen nach sich ziehen kann – obwohl wirksame und einfache Schutzmöglichkeiten zur Verfügung stehen.

Erstmals war die höchst riskante Sicherheitslücke im Juli 2017 aufgetreten. Obwohl noch im selben Monat ein Patch zur Eliminierung der Bedrohung bereitgestellt worden war, folgten weitere Cyberangriffe in den folgenden Monaten: beispielsweise im März 2018 durch Threadkit, eine Hacking-Software für Laien.

Auch jetzt noch, im März 2019, wird diese Schwachstelle regelmäßig ausgenutzt. Mittels Formbook Malware, erneut verbreitet über Threadkit, erhalten Hacker Zugriff auf vertrauliche Daten. Gibt der Nutzer zum Beispiel Autorisierungs- und Anmeldeinformationen in ein Webdatenformular ein, werden diese Informationen direkt bei der Eingabe abgerufen, bevor diese überhaupt verschlüsselt und übertragen werden können.

Funktionsweise des Exploits

Die Schwachstelle präsentiert sich in sehr unauffälliger Form, weshalb Nutzer oft ohne weitere Bedenken die kritische Datei öffnen und lange Zeit nicht merken, dass die Malware auf dem PC im Hintergrund läuft.

Der Virus versteckt sich in einer Word-Datei im RTF-Format, die per Mail an den Nutzer gesendet wird – Absender-Adresse und Betreff enthalten Details, die authentisch wirken. Auch die Ansprache ist an die realer Unternehmen angepasst. Beispielsweise kann es sich um die Aufforderung handeln, eine Zahlung zu begleichen.

Klickt der Nutzer auf den Anhang, öffnet und schließt sich die RTF-Datei sofort, als wäre die Word-Anwendung abgestürzt. Tatsächlich aber wird in der Zwischenzeit eine ZIP-Datei heruntergeladen und extrahiert. Darin wird ein zweites vermeintliches Word-Dokument gespeichert, das den Quellcode für Phishing-HTML-Seiten und die Malware-Nutzdaten enthält.

Während sich für den Nutzer nun das erste Word-Dokument öffnet, werden im Hintergrund die Malware-Daten entpackt – so gerät die Anwendung auf den PC. Dass die Malware vertrauliche Daten sammelt, ist nicht zu bemerken.

Schutzmaßnahmen

Eine Möglichkeit, um Bedrohungen wie die Microsoft-Office-Schwachstelle CVE-2017-8570 präventiv zu verhindern, ist denkbar einfach umzusetzen: Sobald Patches zur Verfügung stehen, sollten diese umgehend installiert werden. Beispielsweise stellt der Anbieter Microsoft zum monatlichen Patchday eine Vielzahl von Korrekturauslieferungen vor, mit der Nutzer bekannt gewordene Sicherheitslücken schließen können.

Allerdings hat ein zwei Jahre altes Patch für eine Schwachstelle, die damals als wenig kritisch eingestuft wurde, für IT-Sicherheitsteams wohl kaum Priorität. In Unternehmen, in denen aktuelle Bedrohungsinformationen nicht regelmäßig in die Patch-Priorisierung einbezogen werden, wird diese Schwachstelle vermutlich ungepatcht bleiben. Eine umfassende Schwachstellen-Management-Lösung hilft bei dieser Risikopriorisierung.

Zudem sollten Nutzer beim Öffnen von Anhängen höchste Vorsicht walten lassen, besonders, wenn dieser von einer unbekannten Firma stammt. Als weitere Vorsichtsmaßnahme empfiehlt es sich, nach dem Download des Anhangs den Bearbeitungsmodus und die Makros in Microsoft Word zu deaktivieren – allein das Öffnen der Datei oder das Drücken einer bestimmten Tastenkombination könnten der Impuls für den Start der Malware-Nutzdatei sein.

 

Micro-Virtualisierung bringt Sicherheit beim Surfen und bei der E-Mail-Kommunikation – Abkapseln

Die Methoden von Cyberangreifern werden immer raffinierter, aber die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten.

Gefälschte E-Mails bedrohen in hohem Maße die Behörden- und Unternehmens-IT. Es vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Zuletzt machte etwa die E-Mail-Spam-Kampagne mit dem Onlinebanking-Trojaner Emotet von sich reden. Er infiziert E-Mail-Postfächer und Rechner und kann gesamte Netzwerke lahmlegen. Auch das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, ist weit verbreitet.

Darüber hinaus stellen bösartige Downloads, also Downloads mit unbekanntem Schadcode, die IT immer noch vor vermeintlich unlösbare Probleme. Bei Downloads von Dateien aus externen Quellen besteht immer die Gefahr, Opfer von Malware zu werden – sei es durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffsvarianten der Hacker sind dabei äußerst vielfältig: Sie reichen von Fake-Updates über URL-Weiterleitungen und DNS-Manipulationen bis hin zu fingierten Treibern und Systemtools.

Die durch E-Mails und Downloads bestehenden Gefahren sind mit klassischen Antiviren-Programmen (AV) nicht vollständig in den Griff zu bekommen. Das Problem dieser Lösungen besteht darin, dass sie auf die Malware-Erkennung angewiesen sind. Bisher unbekannte Schadsoftware wie einen neuen Virus in einem E-Mail-Anhang können sie damit kaum aufspüren. Selbst wenn Lösungen wie Next-Generation-AV-Produkte mit einer Erkennungsrate von 99 Prozent werben, bezieht sich auch das nur auf bereits bekannten Schadcode. Was immer bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.

Angesichts dieser Gefahrenlage und der Begrenztheit ihrer Abwehrmaßnahmen reagieren Behörden wie Unternehmen mit der noch regelmäßigeren Durchführung von Awareness-Kampagnen, in denen die Mitarbeiter dazu aufgerufen werden, genau hinzusehen und nicht auf alles zu klicken, was in einer E-Mail zu finden ist. Dennoch werden sie immer wieder Opfer solcher Attacken, die mitunter gravierende Folgen haben.

Wenn eine zuverlässige Malware-Erkennung nicht möglich ist, bleibt – abgesehen von unrealistischen Szenarien wie einer vollständigen Abkoppelung vom Internet – prinzipiell nur noch eine einzige sinnvolle Schutzmaßnahme, eine Lösung, die auf »Applikationsisolation statt Malware-Detektion« setzt.

Die beste Möglichkeit für eine solche Isolation bietet der Einsatz der Micro-Virtualisierungstechnologie – wie sie Bromium mit der Lösung Secure Platform erstmals auf den Markt gebracht hat. Dabei wird jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs oder das Downloaden eines Dokuments in einer eigenen Micro-Virtual-Machine (Micro-VM) gekapselt. Eine mögliche Schädigung durch Malware bleibt dadurch immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität wieder automatisch gelöscht wird. Eine Kompromittierung des Endgerätes und nachfolgend des Behörden- oder Unternehmensnetzes über die Angriffswege E-Mail oder Download ist damit nahezu ausgeschlossen.



Jochen Koehler ist Regional VP Sales Europe
bei Bromium in Heilbronn

 

Illustration: © Rashad Ashur/shutterstock.com

 

43 Artikel zu „Micro-Virtualisierung“

85 Prozent der Führungskräfte sehen menschliche Schwächen als größte Gefahr für die Cybersicherheit

Proofpoint hat in Zusammenarbeit mit der Economist Intelligence Unit eine Umfrage unter mehr als 300 CIOs und CISOs in Nordamerika, Europa und dem asiatisch-pazifischen Raum veröffentlicht [1]. Dabei sind fünf von sechs der Manager der Meinung, dass menschliche Schwächen ein deutlich größeres Risiko hinsichtlich Cyberattacken bergen als Lücken in der technischen Infrastruktur oder Probleme in…

Den Mythen der IT-Sicherheit auf der Spur

Rund um das Thema IT-Sicherheit kursieren immer noch zahlreiche falsche Vorstellungen.   Die hohe Bedeutung von IT-Sicherheit stellt kaum jemand mehr in Frage. Doch wer ist dafür verantwortlich und wie ist sie realisierbar? Hier gibt es nach wie vor viele Irrtümer. Bromium räumt mit fünf gängigen auf. Cyber-Security ist in erster Linie ein Thema für…

Bug-Bounty-Programme erfolgreich aufsetzen, aber wie?

Cyberangriffe beherrschen weiterhin die Schlagzeilen. Nicht zuletzt, weil Datenschutzverletzungen zunehmend schwerwiegende Auswirkungen auf Geschäftsprozesse und Unternehmen haben. Und wo in einem Netzwerk Schwachstellen sind, da werden sie vermutlich auch irgendwann ausgenutzt. Man muss allerdings nicht tatenlos zusehen bis es tatsächlich passiert. Eine Methode, die sich inzwischen etabliert hat, sind sogenannte Bug-Bounty-Programme. Darüber werden erfahrene White-Hat-Hacker…

Wenn Cyberkriminelle die Seiten wechseln – Der Einsatz von Ethical Hacker

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine Möglichkeit, um Sicherheitslücken in Systemen frühzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten gehören etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker,…

Protected App sichert Zugriffe auf unternehmenskritische Zielsysteme

Sicherheitssoftware-Anbieter Bromium ist auf der it-sa in Nürnberg erneut als Mitaussteller am Stand von Computacenter vertreten. Im Mittelpunkt der Produktpräsentationen steht mit Protected App eine Lösung, die Zugriffe auf kritische Unternehmensapplikationen auf Basis einer Hardware-isolierten Virtualisierung schützt. Das Problem ist altbekannt: Mit dem Internet verbundene Arbeitsplatzrechner sind immer der Gefahr einer Kompromittierung ausgesetzt. Wird von…

Bei IT-Sicherheit unbedingt den Faktor »Mensch« einrechnen

Hacker greifen bei ihren Raubzügen auf unterschiedlichste Methoden zurück, denen klassische IT-Schutzmaßnahmen längst nicht mehr gewachsen sind. Die Schulung der Mitarbeiter in punkto IT-Sicherheit und die Schaffung eines entsprechenden Bewusstseins für die Gefahren sind wichtige Punkte im Kampf gegen Cyber-Kriminelle. Noch besser ist allerdings eine IT-Security-Lösung, die solche Attacken ins Leere laufen lässt.

Managed Security Services für den öffentlichen Sektor

noris network, Betreiber von Hochsicherheitsrechenzentren in Deutschland, stellt auf der PITS 2019 (Public IT-Security, 2. bis 3. September 2019, Hotel Adlon, Berlin) IT-Infrastruktur- und Sicherheitsdienstleistungen für die öffentliche Verwaltung vor. Am Kongressprogramm beteiligt sich noris network mit einem Fachvortrag zu Web Application Firewalls. noris network präsentiert auf dem Kongress die Fokusthemen Next Generation Data Center…

Massive Auswirkungen von E-Mail-Attacken auf den Geschäftsbetrieb

43 Prozent der Unternehmen sind in den letzten 12 Monaten Opfer eines Spear-Phishing-Angriffs geworden. Barracuda veröffentlicht die Ergebnisse einer in Auftrag gegebenen Umfrage unter 660 IT-Verantwortlichen weltweit. Dabei fragte das Unternehmen nach den Erfahrungen mit Phishing, Insider-Bedrohungen, Office 365 und die damit verbunden Auswirkungen auf die Geschäftsabläufe sowie die Ausgaben für IT-Security und die Kosten…

Sicheres Surfen und sorgenlose E-Mail-Kommunikation sind machbar

Auch wenn die Methoden von Cyberangreifern immer raffinierter werden, die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten. Cyberangreifer nehmen Unternehmen und Behörden nach wie vor unter Nutzung der Angriffswege E-Mail und Download ins Visier. So vergeht kaum ein Tag, an…

Cybercrime: Angriff der Unbekannten

39 Prozent der für die KPMG-Studie »e-Crime in der deutschen Wirtschaft« befragten Unternehmen waren in den letzten zwei Jahren von Cyberattacken betroffen. »Unternehmen werden verstärkt über verschiedenste Angriffsvektoren attackiert und müssen sich künftig besser auf alle Angriffsszenarien vorbereiten«, so KPMG-Partner Michael Sauermann. Dabei können die Schäden in die Millionen gehen, auch wenn das eher selten…

Fünf von sechs Unternehmen wissen nicht, wer hinter dem Cyber-Angriff steckt

85 Prozent der von Computerkriminalität betroffenen Unternehmen können den Täter lediglich der Kategorie »unbekannt extern« zuordnen. Sie sind somit nicht in der Lage, Angriffe effektiv zu verfolgen und aufzuklären. Damit geht zugleich die Gefahr einher, dass Delikte gänzlich unentdeckt bleiben.   Zu diesem Ergebnis kommt die aktuelle KPMG-Studie »e-Crime in der deutschen Wirtschaft 2019«. Hierfür…

Verborgene Cyberrisiken treffen Versicherer und Versicherte

Die Problematik von unentdeckten Cyberrisiken in laufenden Versicherungsverträgen. Ein Kommentar von René Schoenauer, Guidewire. Cyberattacken schaffen es immer wieder in die Schlagzeilen. Man denke an WannaCry, Petya oder die erst kürzlich bekannt gewordene Microsoft-Schwachstelle BlueKeep. Hackerangriffe verursachen einerseits enorme finanzielle Schäden, ziehen langfristig allerdings noch viel schwerwiegendere Konsequenzen nach sich. Unternehmen, die einer erfolgreichen Cyberattacke…

Ersetzt künstliche Intelligenz das Security Operations Center?

Künstliche Intelligenz (KI) ist nicht mehr nur eine Vision. KI, maschinelles Lernen (ML), Deep Learning (DL) und andere Formen algorithmisch basierter, automatisierter Prozesse sind heute Mainstream und auf dem Weg zu einer tiefgehenden Integration in ein breites Spektrum von Front-Office-, Back-Office- und In-the-Field-Anwendungen. Ebenso gibt es viele gute Beispiele dafür, wie KI eingesetzt wird, um…

5 Bereiche in denen Cybersicherheit von KI profitiert

Illustration: Geralt Absmeier Eine Untersuchung von Markets and Markets prognostiziert, dass die Industrie für künstliche Intelligenz bis zum Jahr 2025 auf ein Volumen von 190 Milliarden Dollar wächst. Bis zum Jahr 2021 werden dreiviertel aller kommerziellen Unternehmensanwendungen KI nutzen. Ein Bereich, in dem künstliche Intelligenz weiterhin auf dem Vormarsch ist, ist die Cybersicherheit. Wie in…