HiSolutions Cybersecurity Digest Mai 2020 veröffentlicht

Top Thema:

HiSolutions Schwachstellen-Report 2020

Im Rahmen von Penetrationstests und anderen technischen Audits taucht immer wieder die Frage auf, wie das Abschneiden im Vergleich mit „typischen“ Ergebnissen einzustufen ist, und ob die identifizierten Probleme bei anderen Unternehmen in ähnlicher Form und Schwere bestehen. Die HiSolutions Schwachstellen-Report 2020 wertet die von uns im letzten Jahr durchgeführten Tests aus und analysiert die identifizierten Schwachstellen nach Schweregrad und Kategorie. So werden interessante Trends und wichtige Entwicklungen in der Sicherheitslage deutlich.

2019 bestand weiterhin eine Vielzahl unterschiedlicher Sicherheitsprobleme in den geprüften IT-Systemen. Besonders fehlerhafte Konfigurationen und die Häufigkeit, mit der verwundbare Komponenten eingesetzt wurden, haben sich im Vergleich zu den Vorjahren deutlich erhöht. Abgenommen haben hingegen die Preisgabe sensibler Informationen und mangelhafte Authentifizierung. Kritische Sicherheitslücken wurden, nach einem leichtem Rückgang 2018, im vergangenen Jahr wieder häufiger festgestellt – kein einziger Test wurde hier ohne Befund abgeschlossen. 

Mehr denn je bestehen anscheinend die größten Herausforderungen in der korrekten Konfiguration und Wartung von Software. Durch den Variantenreichtum der in der Praxis vorgefundenen Schwachstellen wird ein einfaches und schnelles Auffinden, beispielsweise durch automatisierte Verfahren, erschwert: Das Testen auf ausgewählte „Top-10“-Lücken erweist sich weiterhin als nicht hinreichend. Die Auswertung zeigt außerdem, dass gerade schwerwiegende Sicherheitslücken oft erst aufgedeckt werden können, wenn dem Testteam mehr Zugangsrechte eingeräumt werden. Für viele Unternehmen kann es daher sinnvoll sein, über eine externe Untersuchung der Systeme hinauszugehen und auch interne Strukturen prüfen zu lassen.

In vielen Fällen wurde auf Befunde im Nachgang des Tests korrekt reagiert. So wurden insbesondere kritische und schwere Sicherheitslücken bis zu einem Nachtest signifikant reduziert. Daher erweisen sich regelmäßige Penetrationstests mit wiederholter Überprüfung identifizierter Sicherheitslücken und der zur Mitigation eingesetzten Sicherheitsmaßnahmen als wichtiger Schritt zu mehr Sicherheit.

https://research.hisolutions.com/2020/05/hisolutions-schwachstellen-report-2020/


Neuigkeiten:

Keine Portokasse: IT-Sicherheitsgesetz 2.0 könnte drastische Bußgelder bringen

Die Weiterentwicklung des IT-Sicherheitsgesetzes „2.0“ zieht sich nun schon über geraume Zeit. Es ist ein weiterer Referentenentwurf bekannt geworden, der in die Ressortabstimmung geht und über den Sommer mit den Verbänden diskutiert werden soll. Hierin ist geplant, die Bußgelder auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes anzuheben – dieses scharfe Schwert hat sich aus Regulierer-Sicht bereits bei der DSGVO bewährt. Die Entsorgung soll sich zu den KRITIS-Sektoren gesellen, außerdem kommen ggf. Auflagen für diverse Typen von „Unternehmen im besonderem öffentlichen Interesse“. Auch letztere sollen alle zwei Jahre ein IT-Sicherheitskonzept nach dem Stand der Technik beim BSI vorlegen. Komponenten für KRITIS-Anlagen rücken zukünftig ebenfalls in den Fokus: Diese sollen zugelassen werden bzw. Herstellergarantien enthalten, dass keine technischen Hintertüren vorhanden sind. Bei Verstößen könnte der Einsatz durch das BMI unterbunden werden.

Das BSI soll künftig Honeypots und Sinkholes betreiben, Portscans im Internet aktiv durchführen und in bestimmten Fällen auch Kommunikation umlenken und Botnetze ausschalten. Bei angreifbaren Systemen könnte die Behörde, die ihre größtenteils passive Schutzrolle verändern würde, aktiv Sicherungsmaßnahmen vornehmen. Darüber hinaus sind auch Erweiterungen von Befugnissen der Strafverfolgungsbehörden geplant, welche bestimmte Daten von sozialen Netzwerken automatisch erhalten sollen. Das BKA soll des Weiteren das BSI als Erfüllungsgehilfen etwa für die Auswertung von Sicherheitslücken heranziehen. Das Fernmeldegeheimnis (Artikel 10 GG) würde unter anderem hierfür entsprechend eingeschränkt. Im Bereich Verbraucherschutz soll das BSI auf dem Feld Cyber neue Aufgaben bekommen und u. a. ein „IT-Sicherheitskennzeichen“ als eine Art elektronischen Beipackzettel für IoT u. ä. einführen. Das Ganze soll mit einem Aufbau von fast 600 (BSI) bzw. 50 (BBK) Stellen einhergehen.

https://ag.kritis.info/2020/05/13/kommentar-zum-neuen-referentenentwurf-des-it-sicherheitsgesetz-2-0-it-sig2/


HiSolutions - Passwort-Audits

Schwache Passwörter sind in heutigen IT-Umgebungen häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet. Das wissen auch die Angreifer. Und so ist jeder über das Internet erreichbare Server Brute-Force-Angriffen ausgesetzt. Auch wo die Einführung von 2-Faktor-Authentifizierung möglich wäre, gestaltet sich die praktische Umsetzung oft schwierig.

Um Kunden einen Überblick über die Qualität der verwendeten Passwörter zu geben, führt HiSolutions deswegen praktische Prüfungen der Passwortqualität durch. Dafür verfügen wir über ein spezialisiertes Labor für hochparallelisierte Angriffe auf Hashes und Kennwörter.

Weitere Informationen: https://research.hisolutions.com/2020/04/passwort-audits/ 


Gigaflops-Mopser hopsgenommen: Angriff auf EU-Hochleistungsrechenzentren entdeckt

Mit dem sich verändernden öffentlichen Interesse an Forschungsdaten rund um das Thema Pandemie geraten neue Zielgruppen ins Visier international agierender Angreifergruppen. Hinter einer Reihe verschiedenartiger Angriffe auf europäische Hochleistungsrechenzentren wird Interesse an Forschungsergebnissen rund um COVID-19-Impfstoffe vermutet. Die Attacken wurden entdeckt und konnten zunächst gestoppt werden.

https://www.heise.de/security/meldung/Mehrere-Hochleistungsrechenzentren-in-Europa-angegriffen-4721393.html 

Andere Spekulationen gehen in die Richtung, dass mit der missbrauchten Rechenpower die anonym nutzbare Kryptowährung Monero geschürft werden sollte. Wieder andere Quellen behaupten, dass nur die Front-Nodes, nicht aber die Compute-Nodes kompromittiert wurden – was eher gegen Kryptowährungs-Mining spräche. Die Untersuchungen dauern an.

https://bitcoinblog.de/2020/05/19/top-supercomputer-in-europa-schuerfen-unfreiwillig-fuer-einige-naechte-monero 


Keine Gnade trotz Corona: Ransomware-Angriff auf Gesundheitskonzern

Auch der börsennotierte Gesundheitskonzern Fresenius ist Opfer eines Angriffs geworden. Die mutmaßliche Ransomware-Attacke hat zeitweise die Produktion eingeschränkt. Die Versorgung der Patientinnen und Patienten in den firmeneigenen Krankenhäusern und Dialyseeinrichtungen war jedoch durchgängig gewährleistet.

https://www.zdnet.de/88379488/ransomware-angriff-auf-fresenius/ 

Ähnliche Ransomware-Fälle, darunter auch auf medizinische Einrichtungen und KRITIS-Unternehmen, häufen sich gerade. Auch auf der Incident-Response-Hotline von HiSolutions ist keinerlei Corona-bedingte Zurückhaltung bei Angriffen zu erkennen.
 

Shameware – RagnarLocker-Angriff auf Energieunternehmen

Analysen von Sicherheitsforschern zufolge haben Angreifer 11 Mio. US-Dollar Lösegeld von einem europäischen Energieriesen gefordert, sonst würden gestohlene Unternehmensdokumente herausgegeben. Die Gruppe, welche die RagnarLocker-Malware verwendet, scheint die in Lissabon ansässige Gruppe Energias de Portugal (EDP, 11.000 Mitarbeiter, Jahresumsatz gut 3,3 Mrd. Euro) ins Visier genommen zu haben. Diese unter dem Begriff „Shameware“ bekannte Erpressungsvariante geht in der Hebelwirkung über einfache Verschlüsselung von Daten hinaus.

https://www.infosecurity-magazine.com/news/energy-giant-edp-hit-10-million/ 

Ebenfalls veröffentlicht wurden Daten der Stadtwerke Ludwigshafen, welche sich im Darknet wiederfanden.

https://www.golem.de/news/nach-hack-daten-von-stadtwerken-ludwigshafen-im-darknet-veroeffentlicht-2005-148484.html


Shame On You If I Can Hack You – Star-Daten als Geisel

Nicht nur Unternehmen und Behörden werden Opfer von Ransomware-Attacken, sondern auch Privatpersonen. Gerade dann, wenn sie bekannter sind. Angreifer haben einer Anwaltskanzlei mutmaßlich 756 GB an Daten über prominente Kunden gestohlen und fordern nun 21 Mio. US-Dollar Lösegeld. Ein Screenshot des Künstlervertrags von Madonna wurde bereits im Internet geleakt. Bei den Kriminellen scheint es sich um die gleiche Gruppe zu handeln, die zum Jahreswechsel die Reisebank Travelex heimgesucht hatte.

https://www.engadget.com/hackers-21-million-ransom-celebrity-lawyer-064511797.html 

Bei Lady Gaga hat sich angeblich die geforderte Summe bereits verdoppelt:

https://www.spiegel.de/netzwelt/web/madonna-und-lady-gaga-betroffen-anwaltskanzlei-mit-promi-kunden-gehackt-a-9681af23-8326-4bec-980b-7ced75f01c1f


Auge um Auge? Cyber-Scharmützel zwischen Israel und Iran

Die gegenseitigen Cyber-Angriffe zwischen Israel und Iran bzw. dessen Verbündeten scheinen sich aktuell in chronische Scharmützel zu verstetigen. Nachdem Iran mutmaßlich Israels Abwasseraufbereitung angegriffen und Israel nach Informationen der New York Times mit Attacken auf iranische Häfen gekontert hatte, haben iranisch beeinflusste Kreise zuletzt eine Reihe von mit Israel verbundenen Websites verschandelt (Defacement). Bisher hat keiner der Angriffe zu Schäden an menschlichem Leben oder Gesundheit geführt.

https://www.jpost.com/israel-news/cyberattack-replaces-multiple-israeli-websites-with-anti-israel-message-628787 


Eines Morgens erwachte ich
und fand den Eindringling vor
– Minarette spielen „Bella Ciao“

Unbekannte Hacker haben Lautsprechersysteme mehrerer Moscheen in der türkischen Stadt Izmir gehackt und von den Minaretten anstelle des Rufes der Muezzins das weltbekannte italienische Partisanenlied "Bella Ciao" ertönen lassen. Der türkische Staat versucht dies als Gotteslästerung zu verfolgen und geht auch gegen eine Verbreitung von Aufnahmen der Aktion im Internet vor.

https://www.sueddeutsche.de/panorama/tuerkei-bella-ciao-moschee-izmir-1.4914330 


Lesetipps:

Freiheit

Die ISO ist dem Beispiel vieler internationaler Organisationen gefolgt, angesichts der Coronakrise relevante Standards im Bereich Medizintechnik und Risikomanagement kostenlos zur Verfügung zu stellen, darunter ISO 22301 (BCM) und ISO 31000 (Risikomanagement). Eine Besonderheit hier ist ein Differenz-Viewer, der Änderungen zur jeweiligen Vorgängerversion grafisch hervorhebt. Die Texte stehen als Online-View bereit, nicht als PDF zum Download.

https://www.iso.org/covid19 


Sicherheit

Security by Safety by Design – Safety als Hebel für Security? Safety und Security werden häufig als unterschiedliche Domänen gesehen, die zwar am Ende an einem Strang ziehen müssen, teilweise aber auch orthogonale oder gar widersprüchliche Ziele verfolgen. Security by Design wiederum ist ein häufig zitiertes Prinzip, welches in der Praxis schwer umzusetzen ist. Im Umfeld der ISA (International Society for Automation) wurden nun Überlegungen angestellt, wie Security-Engineering gerade dadurch verbessert werden könnte, dass man das „Spezialthema“ Security für Safety-Systems (SIS) als Start- und Kristallisationspunkt wählt.

https://medium.com/@fluchsfriction/security-for-safety-as-a-seed-crystal-414ca6a3ad43 


Liebe

Zwanzig Jahre nachdem der ILOVEYOU-Virus als eine der ersten digitalen Pandemien Systeme und Netzwerke weltweit lahmgelegt hat, konnte der mutmaßliche Autor des Schädlings in einem Computerreparaturshop in Manila, Philippinen aufgespürt werden.

https://www.bbc.com/news/technology-52458765 

 

 

Der nächste HiS-Cybersecurity Digest erscheint Ende Juni 2020.

Jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: