HiS-Cybersecurity Digest März 2016 veröffentlicht

HiS-Cybersecurity Digest März 2016

Die Top Themen des letzten Monats: Ransomware-Erpressung, Erste Bußgelder für Auftragsdatenverarbeitung in den USA, Verizon Data Breach Digest Report veröffentlicht, USA und der IS im Cyberwar, Air Gap und TEMPEST, Carsharing dank Keyless Go.


Top Thema

BMI veröffentlicht Rechtsverordnung zum IT-Sicherheitsgesetz 
700 Anlagen in 7 Branchen, darunter 70 deutsche Rechenzentren, werden vom BMI als kritische Infrastrukturen betrachtet und unterliegen damit der Meldepflicht nach dem IT-Sicherheitsgesetz. Kleinere Anlagen sind nicht betroffen. Als klein zählt hierbei jede Anlage, die für weniger als 500.000 Bürger eine kritische Infrastruktur bereitstellt. Ähnliche Regeln gelten auch für die Betreiber von Rechenzentren. Mit der Veröffentlichung tritt nun vorerst eine sechsmonatige Übergangszeit in Kraft. Danach sind die Meldeverpflichtungen einzuhalten. Innerhalb von 2 Jahren müssen die Betreiber kritischer Infrastrukturen dann die Anforderungen des IT-Sicherheitsgesetzes zum Schutz der Anlagen erfüllen.
> Weiterlesen http://www.heise.de/security/meldung/IT-Sicherheitsgesetz-Wer-was-wann-zu-melden-hat-3096885.html 


Neuigkeiten im Februar:

Ransomware-Erpressung
Im Februar kam es zu einer bisher nicht dagewesenen Welle von Erpressungen mit sogenannter Ransomware. Diese Schadsoftware verschlüsselt Daten auf dem infizierten PC und macht sie somit für den legitimen Benutzer unbrauchbar. Nur gegen Zahlung eines Lösegeldes - zumeist in Bitcoin - erhalten die betroffenen Firmen, Privatpersonen oder auch Krankenhäuser den für die Entschlüsselung notwendigen Schlüssel.

Ransomware traf im Februar fast alle Plattformen. Die Betreiber von Webservern wurden Opfer von TeslaCrypt, bei Android gab es diverse Trojaner und auf Macintosh wurde mit KeRanger die erste erfolgreiche Ransomware aktiv. Locky traf die Nutzer von Microsoft Office besonders heftig über sehr überzeugend aussehende, gut vor den Virenscannern versteckte Anhänge von Mails. Diese verschlüsselten lokale Festplatten und Fileserver in großer Zahl. Die Erkennung der bösartigen E-Mails durch Schutzsoftware war relativ schwierig und konnte nur vereinzelt, z. B. mit Hilfe einer cloud-basierten Prüfung, gelingen. Zum großen Glück der Betroffenen war Locky nicht sehr vorsichtig bei der Verschlüsselung, konnte also leicht entdeckt werden. Sobald die Virenscanner passende Signaturen hatten, war er im Regelfall auch einfach zu entfernen.

Keine der Ransomwares verfügte über einen Mechanismus zur eigenständigen Ausbreitung, so wie dies früher manchmal schon der Fall war. Organisationen, die über eine aktuelle Datensicherung verfügten, konnten nach der Desinfektion Ihre Daten zumindest bis zum letzten Sicherungszeitpunkt relativ schnell wiederherstellen.

Eine Kurze Anleitung (in Englisch), was beim Auftreten von Ransomware wie Locky zu tun ist, finden Sie im Blog von Christoph Puppe, Principal Consultant bei der HiSolutions AG.
https://plus.google.com/u/0/+ChristophPuppe/posts/dXsrNcz97Ws/

Ein relativ teurer Fall von Erpressung traf ein Krankenhaus in den USA. Immer 40 Bitcoin wurden verlangt und bezahlt. Die Kosten für die Ausfälle im Betrieb, die potenziellen Schadenersatzklagen und weiteren Kosten des Vorfalls übersteigen diese allerding erheblich. Soweit bekannt, sind zumindest keine Menschen zu Schaden gekommen.

--------------------------------------------------------------
Erste Bußgelder für Auftragsdatenverarbeitung in den USA
Der Europäische Gerichtshof für Menschenrechte hat Safe Harbor vor fünf Monaten für ungültig erklärt. Nun drohen ersten Unternehmen Konsequenzen, da sie weiterhin an der Verarbeitung personenbezogener Daten von EU-Bürgern im Ausland festgehalten haben. Der Hamburger Datenschutzbeauftrage J. Caspar kündigte an, gegen drei Unternehmen ein Bußgeldverfahren einzuleiten. Für zwei weitere Firmen sind Sanktionen im Gespräch.
Die Artikel-29-Datenschutzgruppe hat sich Anfang Februar mit dem Thema auseinandergesetzt, will aber die Ergebnisse der Verhandlungen zum "EU-US Privacy-Shield" abwarten. Zitat: "Das gilt ausdrücklich nicht für Übermittlungen auf Grundlage der aufgehobenen Safe-Harbor-Entscheidung. Derartige Übertragungen sind rechtswidrig. Verstöße hiergegen werden von den Aufsichtsbehörden verfolgt."

Abzuwarten bleibt, ob sich nun weitere oberste Datenschützer diesem Vorgehen anschließen, oder ob sie ausharren, bis es im Nachfolgeabkommen zu einer Entscheidung gekommen ist, die die Datenschützer prüfen können.
https://netzpolitik.org/2016/eu-datentransfer-in-die-usa-erste-bussgelder-angekuendigt/

--------------------------------------------------------------
Cybercrime als Enabler von weiteren Taten
Cyberkriminelle nutzten eine Schwachstelle in einem Webserver, um den Inhalt von Containern auf Schiffen zu erfahren und diese dann gezielt auszurauben. Im folgenden Link finden Sie hierzu einen Auszug aus dem Verizon-Bericht.
http://arstechnica.com/security/2016/03/pirates-hack-into-shipping-companys-servers-to-identify-booty/

--------------------------------------------------------------
Verizon Data Breach Digest Report veröffentlicht
Auch in diesem Jahr stellte das Risk Lab von Verizon wieder eine Zusammenfassung der Cybercrime-Vorfälle auf der RSA-Konferenz vor. Auf 70 Seiten gibt es Statistiken, Root-Cause-Analysen, aktuelle Entwicklungen und einen Ausblick auf das neue Jahr. Im Bericht sind knapp 80.000 Vorfälle ausgewertet, von denen über 2.000 mit Datenverlust/-abfluss verbunden waren. Weiterhin gehen 80 % der betrachteten Vorfälle auf das Konto von Betriebsfremden. Die Zahlen weisen sehr klar daraufhin, dass die Erkennung erfolgreicher Angriffe weiterhin die ungelöste Herausforderung ist. Oft sind die Angreifer monatelang im Netzwerk, ohne dass dies bemerkt wurde.
http://www.verizonenterprise.com/products/security/incident-management-ediscovery/risk-labs.xml

--------------------------------------------------------------
CCTV und Cyberwar
Eine Cyberwar-Truppe der Hisbollah zeigte Videos aus militärischen Einrichtungen der israelischen Truppen, um ihren erfolgreichen Einbruch in deren Netze zu belegen.
http://news.softpedia.com/news/hezbollah-affiliated-hackers-breach-israeli-security-camera-system-500703.shtml

--------------------------------------------------------------
USA und der IS im Cyberwar
Zum ersten Mal in der Geschichte des Cyberwar hat ein Land den Angriff auf ein anderes Land über die 5. Domäne der Kriegsführung (Land, See, Luft, Weltraum, Cyber) erklärt. Frühere Einsätze von Cyberwaffen waren Geheimoperationen wie Stuxnet. Dieser Schritt ist beachtlich, da damit die 5. Domäne auch als Teil offensiver Taktiken legitimiert wird. Dies könnte auch auf andere Konfliktparteien übertragen werden.
http://arstechnica.com/information-technology/2016/03/us-military-launches-cyber-attacks-on-isis-in-mosul-and-announces-it/

--------------------------------------------------------------
Cyber all the Krankenhaus
Wer in Krankenhäusern heute schon Angst vor multi-resistenten Keimen hat, sollte diesen Artikel nicht lesen. Dieser enthält den Sicherheitstest eines Krankenhauses und dessen beispielhafte Ergebnisse. Zusammenfassend kann gesagt werden, dass nur deshalb noch so wenig passiert ist, weil es keiner versucht hat, oder weil es nicht bemerkt wurde.
https://nakedsecurity.sophos.com/2016/02/26/hospitals-vulnerable-to-cyber-attacks-on-just-about-everything/

--------------------------------------------------------------
Air Gap und TEMPEST
Dieses OpenSource-Programm nutzt die CPU des Rechners, um ein Lied im Radio zu spielen. Die CPU ist dabei die Antenne, die das Lied per Radiowellen sendet. Dies ist einer von mehreren Angriffen auf IT-Systeme zur Übertragung von Daten. Die Abschirmung von Gehäusen und Räumen wird damit wieder ein aktuelles Thema, das in den letzten Jahren sehr in Vergessenheit geraten war.
https://github.com/fulldecent/system-bus-radio/blob/master/README.md/

Ein weiterer im Februar veröffentlichter Angriff zielt auf private Schlüssel. Während der Rechner die Entschlüsselung durchführt, zeichnet der Angreifer die Funkwellen auf und kann daraus den Schlüssel errechnen.
https://www.cs.tau.ac.il/~tromer/ecdh/

--------------------------------------------------------------
Carsharing dank Keyless Go
Moderne Autoschlüssel authentifizieren sich gegenüber dem Auto mit einem Verschlüsselungsmechanismus und sind damit nur noch sehr schwer zu simulieren. Der vom Bayerischen Fernsehen hier gezeigte Angriff umgeht dieses Problem, indem eine Funkbrücke zwischen Schlüssel und Auto aufgebaut wird. Diese überträgt die Kommunikation zwischen Auto und Schlüssel auch über mehrere hundert Meter und ermöglicht so den Diebstahl des Fahrzeugs. Den Schlüssel in einer Metalldose aufzubewahren, ist aktuell der preiswerteste Schutz.
http://www.br.de/mediathek/video/sendungen/abendschau-der-sueden/keyless-system-auto-100.html

--------------------------------------------------------------
Malware mit Passwort
Eine neue Malware nutzt eine besonders perfide Methode, um die Empfänger einer Mail zu täuschen, sie zum Ausführen des Anhangs zu bringen und sich vor den Virenscannern zu verstecken. Sie versendet eine Mail aus dem Postausgang eines infizierten PCs und schickt diese erneut an den gleichen Empfänger. Der Schadcode hängt sich selbst passwortgeschützt an die Mail und schreibt das Passwort in die Mail. 
http://www.heise.de/security/meldung/Neuer-Virus-schuetzt-sich-mit-einem-Passwort-3119562.html

--------------------------------------------------------------
Erneute Schwachstelle in SSL/TLS: DROWN
Eine internationale Forschergruppe berichtete von zwei neuen Angriffen auf SSL/TLS. Beide richten sich gegen den bereits seit langem veralteten SSL-v2-Standard. Wer diesen auf seinen Servern deaktiviert hat, ist diesem Risiko nicht ausgesetzt. 
http://arstechnica.com/security/2016/03/more-than-13-million-https-websites-imperiled-by-new-decryption-attack/

--------------------------------------------------------------
Asus muss 20 Jahre lang Sicherheitsaudits durchführen
In den USA gibt es zwar keine gesetzliche Verpflichtung zur Absicherung der Betriebssysteme, dafür aber kreative Strafen und hohe Haftungen. Asus hat die Sicherheit seiner SOHO-Router so sträflich vernachlässigt, dass sie nun alle zwei Jahre einen Sicherheitsaudit der Betriebssysteme nachweisen müssen.
http://www.theregister.co.uk/2016/02/23/asus_router_flaws_settlement/

Der nächste HiS-Cybersecurity Digest erscheint Anfang April 2016.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: