Schlagwort: IT-Sicherheit

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

ENISA-Bericht mit Empfehlungen zu Zertifizierungen nach der DSGVO

8. Dezember 2017

Die europäische IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) hat Empfehlungen für Unternehmen bei der Umsetzung der DSGVO-Vorgaben für Zertifizierungen veröffentlicht.
Laut Udo Helmbrecht, dem Chef von ENISA, will die Behörde auf diese Weise Unternehmen eine Hilfestellung geben und eine effektive Umsetzung der Gesetzgebung unterstützen.
Der Bericht stellt die Möglichkeit der freiwilligen Zertifizierung nach Artt. 42, 43 DSGVO für Unternehmen in den Mittelpunkt. Helmbrecht betont, dass es vor allem darum geht Datenverarbeitungsvorgänge zu bewerten, ob sie den Anforderungen der DSGVO genügen. ENISA soll ab nächstem Jahr ein europaweites freiwilliges Zertifizierungsverfahren für IT-Sicherheit etablieren. Eine der Empfehlungen ist, dass sich zwar die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen, aber die Zertifizierung von einer akkreditierten Stelle vorgenommen werden soll um Interessenskonflikte zu vermeiden.

US-Justizministerium beschuldigt Chinesen des Hackings

29. November 2017

Drei chinesische Mitarbeiter des Unternehmens Guangzhou Bo Yu Information Technologie Company Ltd. werden von dem US-Justizministerium bezichtigt, Cyber-Attacken auf den deutschen Großkonzern Siemens AG ausgeübt zu haben. Die Angriffe auf das Netzwerk von Siemens sowie zwei weiteren deutschen Unternehmen fanden zwischen den Jahren 2011 und 2017 statt.

Bei Siemens versuchten die Hacker im Sommer 2014 Passwörter und Nutzernamen abzugreifen. Im Sommer 2015 wurden erfolgreich 407 Gigabyte geschützter Daten des Unternehmens entwendet.

Siemens äußerte sich dabei aus Prinzip nicht zu Angelegenheiten, welche die interne Sicherheit betreffen. Jedoch betonte der Unternehmenssprecher, dass die Datensicherheit für das Unternehmen weltweit von höchster Priorität sei und Siemens seine Infrastruktur streng überwache und schütze.

Die drei Angeklagten befinden sich derzeit nicht in Gewahrsam und werden als Einzelpersonen behandelt, nicht als vom chinesischen Staat unterstützte Hacker. Beispiele wie dieses bestätigen Studien, die in Cyberangriffen auf Unternehmen eine allgegenwärtige und ernstzunehmende Bedrohung sehen.

198 Millionen US-Wählerdaten frei zugänglich

21. Juni 2017

Eine Datenbank mit persönlichen Wählerinformationen zu 198 Millionen US-Bürgern stand 2 Wochen frei zugänglich im Internet zum Download zur Verfügung.

Wie die US-Website Gizmodo berichtet, hatte das Unternehmen Deep Root Analytics im Auftrag der Republikanischen Partei eine Datenbank mit bis zu 198 Millionen Datensätzen an Wählerinformationen erstellt. Aus dieser gingen Namen, Geburtsdaten, Adressen und Telefonnummern eines Großteils der rund 200 Millionen wahlberechtigten US-Bürger hervor. Daneben waren in der Datenbank auch Analyseergebnisse zur politischen Einstellung, Religion, ethnischer Herkunft und wahrscheinliche Meinungen zu Themen wie Waffenbesitz, Stammzellenforschung oder Abtreibung der betroffenen Personen aufgeführt.

Auf die Datenbank aufmerksam geworden war die IT-Sicherheitsfirma UpGuard, nach deren Angaben die Eingabe der URL ausreichend war, um auf 1,1 Terrabyte der Datenbank, die auf einem Amazon Server gespeichert war, zugreifen und sie herunterzuladen zu können. Nicht einmal die Eingabe eines Passworts sei nötig gewesen.

Deep Root Analytics hat mit einer Stellungnahme auf die Datenpanne, die mittlerweile behoben ist,  reagiert und eigene Fehler eingeräumt. So wird die Datenpanne auf ein fehlerhaftes Update am 1. Juni zurückgeführt. Weiter heißt es darin, dass die Daten gesammelt würden, um personalisierte Wahlwerbung im Fernsehen schalten zu können.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Konferenz zur IT-Sicherheitsforschung

14. Februar 2017

Heute startet in Berlin die dreitägige „Nationale Konferenz zur IT-Sicherheitsforschung“, die vom Bundesministerium für Bildung und Forschung organisiert wird. Das Programm sieht einerseits eine öffentliche Ausstellung von Projekten und Forschungsexponaten durch IT-Sicherheitsexperten vor, andererseits werden, zum Teil auch interaktiv, auch Fragen der Besucherinnen und Besucher beantwortet.

Eines der Kernthemen wird sicher das aktuelle Positionspapier zur Cyber-Sicherheit in Deutschland sein, das die drei Kompetenzzentren für IT-Sicherheitsforschung – CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL in Karlsruhe – erarbeitet haben und welches am ersten Tag vorgestellt wird.

Darüber hinaus wird der russische Sicherheitsexperte Eugene Kaspersky zu den Keynote-Speakern der Konferenz gehören. In einem Interview mit der Zeitschrift „c’t – Magazin für Computer Technik“ äußerte er sich bereits recht provizierend. Datenschutz, so meint er, sei „wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich“, ohne Internet und Sicherheitskameras. Die Diskussion darf mit Spannung erwartet werden.

Praktische Fragen zur DS-GVO

14. Juli 2016

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) erstellt derzeit, teilweise gemeinsam mit dem Bayrischen Landesbeauftragten für den Datenschutz, eine Reihe von kurzen Papieren zu konkreten Fragen der EU-Datenschutzgrundverordnung (DS-GVO). Ziel dieser Serie ist es, möglichst praktische Hilfestellungen zur Umsetzung der DS-GVO zu geben, die ab Mai 2018 in Kraft treten wird.

Nach Papieren zur Rolle der IT-Sicherheit sowie zu Fragen der Zertifizierung ist nun ein Papier zur Videoüberwachung nach der DS-GVO erschienen. Die Papiere sollen ein- bis zwei mal im Monat erscheinen und jeweils einzelne Schwerpunkt der DS-GVO beleuchten.

Generalanwalt des EuGH: Keine Haftung von WLAN-Anbietern für Rechtsverletzungen Dritter

18. März 2016

Stellt ein Unternehmen ein kostenloses, offenes WLAN-Netz zur Verfügung, so haftet dieses nicht für durch Nutzer begangene Urheberrechtsverletzungen. Das ist der Tenor eines Gutachtens des Generalanwalts des Europäischen Gerichtshofs, welches am 16.3.2016 verkündet wurde.

Bisher ist es vor allem das Instrument der sogenannten Störerhaftung, das dem flächendeckenden, offenen Ausbau von öffentlichen WLAN-Netzen verhindert. Dabei haftet der Anbieter für Rechtsverstöße, welche ein Nutzer des bereitgestellten Netzwerks begeht, so zum Beispiel im Falle illegalen Downloads von Musik- oder Videodateien im Rahmen von urheberechtsgesetzlichen Haftungsnormen.

Nach Auffassung des Generalanwalts kann der Betreiber des WLAN-Netzes zwar zu einer Beendigung oder künftigen Verhinderung der Rechtsverletzung verpflichtet werden, soweit Nutzer wie beispielsweise Kunden eines Gastronomiebetriebs über dessen offenes Netz illegal Dateien downloaden. Der Betreiber eines kostenlosen WLAN-Netzes kann vom Rechteinhaber aber nicht verpflichtet werden, dieses stillzulegen, durch ein Passwort zu schützen oder die Kommunikationsvorgänge zu überwachen; auch Schadensersatzansprüche oder eine Geltendmachung der Mahn- und Gerichtskosten bestehen demnach gegen den Betreiber nicht.

Hintergrund des Gutachtens ist der Rechtstreit zwischen Sony und einem Geschäftsinhaber, der in seinem Betrieb ein für Kunden offenes WLAN anbietet. Über dieses wurde ein Musikwerk illegal heruntergeladen, für das Gericht glaubhaft aber nicht vom Betreiber selbst, sondern von einem anderen Nutzer. Das zuständige Landgericht München hatte den Europäischen Gerichtshof um Hilfe bei der Auslegung der Europäischen Richtlinie über den Elektronischen Rechtsverkehr dahingehend gebeten, ob diese auch auf Betriebe anzuwenden sei, die ein WLAN-Netz bloß im Rahmen einer anderen Hauptdienstleistung „nebenbei“ anbieten.

Der Auslegung des Generalanwalts muss der Europäische Gerichtshof zwar nicht folgen. Ein abweichendes Urteil wäre jedoch die Ausnahme.

Bundesministerium des Inneren stellt Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen vor

17. Februar 2016

Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.

 
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff „Kritische Infrastruktur“ zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.

 
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.

 
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

 
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.

Hackerangriff: Massiver Datendiebstahl in den USA betrifft persönliche Daten von über 20 Millionen Regierungsangestellten

10. Juli 2015

Die US-Regierungsbehörde United States Office of Personnel Management (OPM) ist jüngst wiederholt Opfer von Cyberattacken geworden. Die Behörde ist für die Verwaltung des Öffentlichen Dienstes in den Vereinigten Staaten verantwortlich.

Bei den Attacken dürfte es sich nach offiziellen Angaben um die bisher größte Cyberattacke auf eine amerikanische Regierungseinrichtung handeln. Betroffen sind personenbezogene Daten von ca. 21,5 Millionen Angestellten des Öffentlichen Dienstes; darunter neben aktuellen auch ehemalige Angestellte sowie eventuell Bewerber und Anwärter für Regierungsorganisationen. Auch solchen nahestehende Verwandte und Freunde, welche im Rahmen sogenannter Background-Analysen durchleuchtet wurden, zählen wohl zu den Opfern. Von den Betroffenen wurden neben Adressen, Sozialversicherungsnummern und Finanzangaben auch besonders sensible Gesundheitsdaten erbeutet – besonders brisant darunter wohl die über eine Million Fingerabdrücke. Die OPM verwaltet auch Zugangsberechtigungen und Sicherheitsscreenings.

Die Angriffe erfolgten wohl bereits im letzten Jahr in zwei Fällen, wurden seitens der OPM aber erst im April dieses Jahres erstmals entdeckt. Im Juni bestätigte sich dann die nun veröffentlichte Zahl der Betroffenen.

Darüber, inwieweit diese Daten vor Angriffen von außen gesichert waren, schweigt die Behörde. Sie hat inzwischen eine Informationsseite für Betroffene eingerichtet. Darauf findet sich kein Hinweis auf den Urheber der Attacken – bereits nach den ersten Meldungen über die Cyberattacke berief sich die Washington Post auf Regierungsvertreter, die hinter den Hackern die chinesische Regierung vermuten. Das chinesiche Dementi folgte wenig überraschend.

Sicherheitsstudien: Cyberattacken häufig aus eigenen Reihen

22. Juni 2015

Spätestens seit dem Hackerangriff auf das Netz des Deutschen Bundestages und der Verabschiedung des Entwurfs eines IT-Sicherheitsgesetzes (wir berichteten darüber) ist das Thema Cybersicherheit in Deutschland in aller Munde. Da erscheinen die beiden Sicherheitsstudien von IBM zum passenden Zeitpunkt und erweitern die Diskussion um die Absicherung von IT-Systemen und Netzwerkern um neue Informationen: Etwa die Hälfte (55%) der Attacken stammt aus den Reihen von ehemaligen Angestellten, Dienstleistern mit Systemzugriff oder Mitarbeitern als Opfer von Kriminellen, so der Cyber Security Intelligence Index. Teilweise handeln diese Personen jedoch arglos oder die Schadsoftware gelangt etwa beim Klicken auf präparierte Links in Spam-E-Mails in das System. Um die Angriffsfläche durch derartige Insider zu verringern, kann ein durchgängiges Identitätsmanagement, also die Verwaltung von Benutzerdaten und damit die Zuordnung Zugriffsberechtigungen, bereits sicher helfen.

Der X-Force Threat Intelligence Report stellt heraus, dass daneben mit Schadsoftware infizierte Spam-Mails inzwischen eine echte Sicherheitsbedrohung darstellen. Der Bericht gibt Empfehlungen, wie solche Angriffe zu verhindern, oder zumindest zu verringern sind.

IBM identifizierte im Jahr 2014 in den beobachteten Unternehmen 81 Sicherheitsvorfälle (das sind rund 11% weniger als im Vorjahr), darunter rund 12.000 Cyberattacken (also Vorfälle, bei denen schadhafte Aktivitäten identifiziert werden konnten, bei denen ein Angriff auf das Netzwerk oder bestimmte Informationen versucht wurden). Die am meisten betroffenen Branchen sind Finanz- und Versicherungsdienstleister (über 25%), Informations- und Kommunikationsunternehmen (über 19%) und die herstellende Industrie (knapp 18%).

 

1 2