Einer 2012 durchgeführten Umfrage unter 1.015 US-Kleinunternehmen zufolge haben nicht wenige von ihnen ein trügerisches Sicherheitsgefühl hinsichtlich ihrer IT-Infrastruktur. Mehr als drei Viertel (77 Prozent) glauben, dass ihr Unternehmen vor Cyber-Gefahren wie Hackern, Viren, Malware oder Sicherheitsverletzungen sicher ist. Das Problem dabei: 83 Prozent der Befragten verfügen über keine formale Sicherheitsstrategie. Diese Erkenntnisse stammen aus einer Umfrage, die 2012 von der nationalen Allianz für Cybersicherheit (NCSA) und Symantec veröffentlicht wurde. (Die gesamte Umfrage ist noch abrufbar unter: http://www.staysafeonline.org/stay-safe-online/resources/).

Auf der Grundlage weiterer Informationen, die 2015 von der Towergate-Versicherung gesammelt wurden (https://www.towergateinsurance.co.uk/liability-insurance/smes-and-cyber-attacks), lässt sich feststellen, dass 97 Prozent der kleinen und mittleren Unternehmen (KMU) nicht glauben, eine Verbesserung ihrer Online-Sicherheit sei für ihr zukünftiges Wachstum wichtig, 82 Prozent halten sich nicht für ein potenzielles Angriffsziel, 32 Prozent glauben, sie würden vermutlich keine Verluste erleiden, 31 Prozent haben keinen Plan wie auf Sicherheitsverletzungen zu reagieren ist, 24 Prozent glauben, dass Cybersicherheit zu teuer ist und 22 Prozent räumen immerhin ein, dass sie gar nicht wissen, wo sie anfangen sollen.

network security

In seinem jüngst gehaltenen Grundsatzreferat bei der Nolacon 2016 hat Dave Kennedy (Gründer von TrustedSec, LLC, Binary Defense, Mitautor von Metasploit und Entwickler des Social Engineering Toolkit) einige seiner Erfahrungen als Penetrationstester geschildert. Einer der wesentlichen Punkte seiner Rede stand im Gegensatz zu dem, was die meisten Leute über die Art denken, wie Hacker in Netzwerke eindringen und sie ausbeuten. Die meisten IT-Sicherheitsbeauftragten machen sich Gedanken darüber, Sicherheitskontrollen einzuführen, um die neuesten APTs (Advanced Persistent Threats), die aktuellste Malware und andere Exploits zu stoppen. In Wirklichkeit, so Kennedy, „sind die meisten Einbrüche geradezu simpler Natur … Sie hatten in den letzten zehn Jahren furchtbar schlechte Sicherheitspraktiken und wurden übertölpelt, weil Sie Adobe Reader seit ungefähr 10 Jahren nicht aktualisiert hatten! Weil Sie furchtbar schlechte Sicherheitspraktiken an den Tag gelegt haben, sind sie Ziel eines Angriffs geworden.“ (Dave Kennedys Rede zum Nachlesen: http://www.irongeek.com/i.php?page=videos/nolacon2016/105-keynote-david-kennedy).

Warum aber liegen die meisten Unternehmen derart daneben und setzen beim Thema IT-Sicherheit gerne mal auf das falsche Pferd?  Wie lässt sich das ändern? Was hat es mit der Diskrepanz zwischen den geäußerten Überzeugungen und der praktischen Umsetzung auf sich und warum spielt das eine Rolle?

Alles beginnt bei einer unternehmensweiten Sicherheitsstrategie. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist dasselbe, wie in anderen Unternehmensbereichen auf Richtlinien zu verzichten. Stellen Sie sich das Chaos vor, gäbe es keine Richtlinien, die Abläufe und Standards für Dienstleistungen, Produkte oder Marken festlegen. Jedes so agierende Unternehmen würde in kurzer Zeit scheitern. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist nichts anderes. Ungeachtet aller Maßnahmen, die Sie hinsichtlich der IT-Sicherheit ergreifen, die Bemühungen werden nicht ausreichen und aller Wahrscheinlichkeit nach fehlschlagen.

Eine Sicherheitsstrategie ist laut (ISC)2 definiert als ein „strategisches Werkzeug zur Festlegung, wie sensible Informationen und Ressourcen zu managen und zu schützen sind“ (siehe den offiziellen Leitfaden von (ISC)2 für CISSP CBK – 4. Auflage, S. 1248). Eine Sicherheitsstrategie im weitesten Sinne beschreibt die gesamte Haltung einer Organisation in Sachen Sicherheit und schließt Richtlinien zu Personal-, Informations- und Technologie-Ressourcen ein. Alle Richtlinien drehen sich um die drei Grundkomponenten von Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit.

Nicht selten herrscht im IT-Bereich fälschlicherweise die Annahme vor, dass IT-Sicherheit von den übrigen Sicherheitspraktiken eines Unternehmens abtrennbar ist. IT-Sicherheit als separaten Prozess zu betrachten ist aber ganz im Gegenteil einer der Gründe für die von der NCSA-Umfrage festgestellte Diskrepanz.

blog stock image

Praktisch betrachtet ist eine Sicherheitsstrategie eine Sammlung von Management-Erwartungen, die festlegen, welche Ressourcen zu schützen sind und, allgemein, wie hoch die anzusetzende Sicherheitsstufe sein soll. Die praktische Umsetzung einer Sicherheitsstrategie erfolgt durch die Anwendung von Verfahren, Standards, Leitfäden und Grundsätzen. Diese Umsetzungsschritte werden typischerweise von der IT-Abteilung ausgeführt. Sobald diese Umsetzungsschritte abgeschlossen sind, sollte ein Auditing stattfinden, um sicherzustellen, dass die Ziele der Sicherheitsstrategie erreicht werden, und um Empfehlungen zu entwickeln, verbleibende Lücken zu schließen.

Sicherheitsstrategien dienen auch dazu, die Verpflichtung der Management-Teams zur Anwendung der „gebotenen Sorgfalt“ beim Schutz sensibler Ressourcen zu dokumentieren. Die Anwendung der Sicherheitsstrategie durch die Implementierung von Verfahren, Standards, Leitfäden und Grundsätzen dient als Grundlage für die „erforderliche Sorgfalt“, die in einer Organisation oft obligatorisch ist. Um eine fundierte Sicherheitsstrategie zu entwickeln, muss eine Organisation alle Ressourcen berücksichtigen, die abgesichert werden müssen. Erst auf dieser Basis kann man eine Risikoanalyse durchführen, um das Verlustpotenzial und die damit verbundenen Kosten zu bestimmen. Diese Daten werden dann verwendet, um die ImJiappr https://de.appriver.complementierung der richtigen, kosteneffizienten Kontrollen zu empfehlen, die notwendig sind um das Risikopotenzial auf ein akzeptables Niveau zu senken.

Wie viel Sicherheit ist genug Sicherheit? Einfach genug. Einen Königsweg der Netzwerksicherheit gibt es zwar nicht, aber eine solide Sicherheitsstrategie berücksichtigt alle vorhersehbaren Risiken. Durch die Implementierung einer Sicherheitsstrategie kann man darauf vertrauen, dass die Risiken auf ein Niveau reduziert werden, das für die Geschäftsführung akzeptabel ist.

Ohne Sicherheitsstrategie wird jeder Sicherheitsaspekt innerhalb einer Organisation suspekt. Die Mitarbeiter haben dann keine Grundlage um Entscheidungen in Sicherheitsfragen zu treffen, und es gibt keine Möglichkeit, die Effizienz der vorhandenen Kontrollen zu messen. Bei Entscheidungen gibt es keine Kriterien nach denen jemand darüber Rechenschaft ablegen kann, und bei Veränderungen im  Management oder der IT-Abteilung ist die Kontinuität gefährdet. Dadurch, dass sich die vorhandenen Kontrollen nur schwer bewerten lassen, fehlt die kalkulatorische Basis für weitere Investitionen in die IT-Sicherheit.

Vom praktischen Standpunkt aus betrachtet beginnt die Lösung des Problems damit eine unternehmensweite Sicherheitsstrategie zu entwickeln und umzusetzen. Das erfordert neben Zeit und Entwicklungsaufwand vor allem, dass die IT-Abteilung und die Geschäftsführung miteinander kooperieren. Haben Sie einmal damit begonnen, Ihre unternehmensweite Sicherheitsstrategie zu entwickeln und zu verfeinern, dann werden die Sicherheitspraktiken in ihrem Unternehmen fast automatisch umfassender. Das werden auch Ihre Kunden bemerken.

 

 

Im Moment ist ein Paket unterwegs, das unbedingt bei Ihnen ankommen will. Allerdings nicht per FedEx. Die aktuelle Version der „Fareit“-Malware-Familie, verbreitet sich per E-Mail, getarnt als Versandbestätigung von FedEx. Die Nachrichten geben vor, eine Versandquittung für ein Paket zu enthalten, das der Kurier nicht zustellen konnte. Obwohl der Name der angefügten Datei den Begriff „PDF“ enthält, ist die Datei tatsächlich eine Archivdatei. Sie verwendet den OpenSource File Archiver 7zip. Im komprimierten Archiv findet man eine ausführbare Datei (.exe), die wiederum die Fareit-Malware enthält.

Blog stock image 2

Die Fareit-Malware ist bereits seit einigen Jahren im Umlauf. Sie ist auf den Diebstahl von Informationen spezialisiert und hat es insbesondere auf FTP-Login-Daten, E-Mail-Passwörter und Passwörter abgesehen, die im Browser gespeichert sind. Im Laufe unserer dynamischen Analysen konnten wir sämtliche dieser Aktivitäten beobachten. Und zwar nachdem die Malware die lokalen Sicherheitstools deaktiviert hatte. Die Malware sucht zunächst auf dem betreffenden Rechner nach den erwähnten Anmeldedaten und stellt dann eine Outbound-Verbindung her um den allseits beliebten Trojaner Zeus herunter zu laden. Ist der Rechner erst ein Mal erfolgreich mit dem Zeus-Virus infiziert, macht sich der Angreifer daran weitere Daten wie beispielsweise Bankdaten abzugreifen. Als Nebenwirkung der Malware-Infiltrierung ist der Rechner des Opfers zusätzlich anfällig für weitere Angriffe und DDoS-Attacken.

fedex fedex 2

In letzter Zeit hat die Berichterstattung zu Ransomware einen breiten Raum eingenommen. Dabei gerät nur allzu leicht in Vergessenheit, dass solche auf Informationsdiebstahl spezialisierte Malware mindestens genauso schädlich, wenn nicht sogar schädlicher ist. Welche konkreten Auswirkungen eine Ransomware-Infektion und die Verschlüsselung der Dateien tatsächlich hat, hängt davon ab wie wichtig die Dateien sind, die es erwischt hat und wie gut das Backup des betreffenden Nutzers oder Unternehmens ist. Andererseits kann eine unerkannt gebliebene Infektion mit Fareit/Zeus zum Diebstahl vertraulicher Daten führen und in der Folge zu Kreditbetrügereien oder sogar zum Identitätsdiebstahl. Beide in ihrem Schadenspotenzial vergleichen zu wollen, macht wenig Sinn, denn das Ausmaß hängt von den individuellen Voraussetzungen und den getroffenen Vorkehrungen ab. Schmerzhaft für die Betroffenen sind beide Varianten. Die beste Verteidigung ist immer noch, sich einem Angriff erst gar nicht

Unsere SecureTide-Kunden sind vor dieser Bedrohung geschützt.

 

In dieser Woche beobachte das AppRiver Security Research Team zum ersten Mal eine „Outlook Web App“-Phishing-Kampagne, eine Kampagne, die zum jetzigen Zeitpunkt mehr als 2.200 versuchte Angriffe umfasst.  Die Kampagne operiert unter dem Deckmantel einer Upgrade-Benachrichtigung für die „Outlook Web App“-Mailbox. Dabei wird versucht, dem Empfänger weiszumachen,

dass der zuständige IT-Admin das E-Mail-System auf „Microsoft Outlook Webaccess 2015“ (was im Übrigen nicht existiert) upgraden will. Um den Upgrade-Prozess zu starten wird der Nutzer aufgefordert auf den in der Nachricht enthaltenen Link zu klicken.

OWA Phishing

Das Beispiel im obigen Screenshot zeigt eine Grafik,  so von den Spammern manipuliert, dass sie dem „Microsoft Exchange 2010 Outlook Web App”-Interface ähnelt. Die Upgrade-Benachrichtigung wurde dann zusätzlich hinein kopiert. Das AppRiver Security Research Team hat sich etliche Beispiele der Spam-Kampagne genauer angesehen und festgestellt, dass zwar die verwendete URL in jeder E-Mail diegleiche ist, dass aber verschiedene Domain-Namen verwendet werden. Über den  „Hier klicken”-Link wird der Benutzer aufgefordert, die Anmeldedaten einzugeben, um das „Update“ zu starten.

OWA Phishing 2

Zurück zur E-Mail selbst: Die Spammer haben eine Nachricht eingefügt, in der es heißt, dass ein weiteres Bild nicht geladen werden kann. Dadurch soll der Benutzer dahingehend beeinflusst werden, den bereitgestellten Link anzuklicken und alles im Browser anzusehen. Durchaus clever von den Spammern,  denn der Link selbst führt zurück auf die falsche Anmeldeseite. Nach der Angabe (falscher) Anmeldedaten leitet die Seite auf die offizielle Microsoft-Office-365-Website weiter, während die gestohlenen Daten direkt an die Spammer gesendet werden. Der Message Sniffer von AppRiver  filtert diese Nachrichten weiterhin aus und das Team wird beobachten wie sich die Kampagne weiter entwickelt.

GEPOSTET VON Paul Tolbert

In den letzten Monaten hat unser Team eine Zunahme bei den Dropbox-bezogenen Phishing-E-Mails festgestellt. Sie geben vor, ein von einem Kollegen oder einer anderen Person verschicktes wichtiges Dokument zu enthalten, das an Kunden gerichtet ist. Die E-Mails scheinen ein gemeinsames Muster zu haben, indem sie dem Empfänger mitteilen, dass er auf den in der E-Mail bereitgestellten Link klicken muss, um das Dokument abzurufen. Neben der eher „schnörkellosen“ visuellen Gestaltung und der verwendeten Sprache sind die bereitgestellten Links weitere Hinweise, die den Phishing-Betrug als solchen entlarven. Wenn man nämlich mit dem Mauszeiger über den Hyperlink fährt, wird enthüllt, dass die Website, auf die die E-Mail die Benutzer weiterzuleiten versucht, nicht Dropbox.com ist.

Ich habe mehrere Varianten dieser Kampagne beobachtet. Sie verfügen alle über gemeinsame Elemente, aber einige wie etwa die URL, der Betreff, die Absenderadresse und der Text variieren. Um weiter zu untersuchen, wie diese Kampagne funktioniert, habe ich versucht, einige der Links zu benutzen, und die Webschutz-Engine SecureSurf von AppRiver hat drei der Links, die ich zu öffnen versuchte, blockiert (das sind gute Nachrichten für Administratoren, die möglicherweise besorgt sind, dass Benutzer diese Links öffnen und dem Betrug tatsächlich zum Opfer fallen). Eine der neueren E-Mails enthielt allerdings einen Link, den ich problemlos nutzen und die entsprechende Seite besuchen konnte. Der Link leitet den Benutzer auf eine Website weiter, die versucht, Dropbox zu imitieren. Dort wird der Benutzer angewiesen, sich mit seinen Anmeldedaten einzuloggen, um auf das Dokument zugreifen zu können wie es in der Abbildung unten zu sehen ist.

 

threat thursday

threat thursday 2

Ich habe daraufhin eine falsche E-Mail-Adresse und ein falsches Passwort eingegeben und auf die bereitgestellte Schaltfläche geklickt. Von dort brachte mich die Website zu einer sekundären Seite, wo ich dazu aufgefordert wurde, entweder eine Telefonnummer oder eine E-Mail-Adresse zur Wiederherstellung anzugeben um fortfahren zu können. Die dahinter liegende Absicht ist eindeutig: Der Benutzer soll die Wiederherstellungsoptionen für sein Konto bereitstellen. Damit wären die Betrüger in der Lage das E-Mail-Passwort problemlos zurückzusetzen und hätten folglich unbegrenzten Zugriff auf das Postfach des jeweiligen Nutzers. Wieder habe ich falsche Informationen angegeben und wurde anschließend auf die Website Realtor.com weitergeleitet. Dort wurden einige tolle, wenn auch nicht ganz billige Apartments in Miami zur Miete angeboten.

threat thursday 3

Wie bei allen E-Mails gilt auch hier: Sollte Ihnen etwas unpassend oder seltsam erscheinen, lassen Sie Vorsicht walten.

Als IT-Administrator ist ein entsprechendes Sicherheitsbewusstsein eines der besten Mittel gegen Phishing-E-Mails wie diese. Setzen Sie dazu noch die robusten E-Mail- und Webschutz-Dienste von AppRiver ein, und Sie verfügen über eine profunde Verteidigungsstrategie auf mehreren Ebenen.

GEPOSTET Von Troy Gill

Im Laufe der letzten paar Jahre haben wir ein explosives Wachstum bei Malware-Kampagnen und gezielten Spear-Phishing-Angriffen beobachten können. Per E-Mail verbreitete Bedrohungen wie diese ziehen naturgemäß viel Aufmerksamkeit auf sich. Gerade deshalb ist es wichtig, auch die Angriffe im Auge zu behalten, die traditionell häufiger vorkommen, ebenso hartnäckig sind und nach wie vor eine erhebliche Bedrohung darstellen.

PayPal Phishing

Diese Woche haben wir einen Phishing-Angriff beobachtet, der die traditionelle, undifferenzierte „Schleppnetz-Taktik“ verwendet um vertrauliche Informationen und sensible Finanzdaten abzuziehen.  Die betreffende Nachricht tarnt sich als Sicherheitswarnung von PayPal. Angebliche Sicherheitshinweise sind nach wie vor eine beliebte Methode, um Benutzer dazu zu verleiten persönliche Informationen wie Name, Adresse, Mädchenname der Mutter, Sozialversicherungsnummer und Kreditkarteninformationen preiszugeben. Dabei verwenden die Angreifer einen HTML-Anhang, der vorgibt eine offizielle PayPal-Seite zur Kontenverifizierung zu sein. Sobald der betreffende Nutzer auf den Anhang klickt, öffnet sich die Seite im Browser und macht das Opfer Glauben sich auf der korrekten PayPal-Seite zu befinden.

Hier eine Ansicht der Nachricht und der angehängten Phishing-Seite:

paypal 1

paypal 2

Obwohl die meisten Benutzer nicht unbedingt daran gewöhnt sind HTML-Anhänge zu empfangen, ist vielen nicht ausreichend klar wie ungewöhnlich es tatsächlich wäre, würde ein Unternehmen wie PayPal derart seine Sicherheitsverifizierungen durchführen. Jedes legitime Unternehmen (und so auch PayPal) würde den Benutzer mit ziemlicher Sicherheit auffordern, sich direkt auf der PayPal-Seite in sein Konto einzuloggen. Wenn man also solche E-Mails erhält und insbesondere dann, wenn man aufgefordert wird persönliche Daten und Informationen preiszugeben, sollte man sich IMMER über den Browser direkt auf die betreffende Seite begeben und niemals Links in einem E-Mail-Anhang folgen. AppRiver-Kunden sind vor Nachrichten dieser Art im Übrigen wie immer geschützt.