- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Cyberangriffe auf deutsche Medienunternehmen


Mehr als 60 Länder haben Cyberwaffen für Computerspionage und Angriffe entwickelt oder entwickeln sie gerade
Kommentar und Hinweise für Unternehmen von Ivanti zur aktuellen Bedrohungssituation durch Hackergruppen im Ausland



In der Welt der Cyberangriffe ist das Potenzial eines nationalstaatlichen Angriffs realer denn je. Während man zunächst annehmen kann, dass staatlich unterstützte Hacker motiviert sind, militärische und diplomatisch sensible Informationen zu sammeln, sind auch andere Motivationen im Spiel. In zunehmendem Maße verwenden nationalstaatliche Hacker leistungsfähige und hochentwickelte Techniken, um nicht nur staatliche Institutionen, sondern auch Industrieanlagen und Unternehmen zu attackieren. Ziel ist es meist, Organisationen und ihre Länder zu stören, zu destabilisieren und an vertrauliche Informationen zu gelangen.

Tatsächlich haben mehr als 60 Länder Cyberwaffen für Computerspionage und Angriffe entwickelt oder entwickeln sie gerade. Es handelt sich damit um eine Art "Kaltem Cyber-Krieg", in dem Regierungen versuchen, sich gegenseitig mit einem wachsenden Arsenal an Cyberwaffen und Cyberabwehrstrategien zu überholen. Der "normale" Cyberkriminelle lernt schnell von diesen militärischen Cyberwaffen, wodurch sich die Kluft zwischen nationalstaatlichen Angriffen und anderen Formen der Cyberkriminalität schnell schließt.

Über die potenziell lähmenden Auswirkungen eines nationalstaatlichen Angriffs hinaus können die Kosten hoch sein. Vor kurzem wurde ein US-Energieunternehmen mit einer Geldstrafe von 2,7 Millionen Dollar belegt, weil es kritische Daten mehr als 70 Tage lang ungeschützt ließ und damit gegen die Cybersicherheitsvorschriften des Energiesektors verstieß.

Beachten Sie folgende Tipps, um den Status Ihrer Cyberabwehr zu bewerten:

1) Erkennen Sie, welche Informationen auf Ihren Systemen gespeichert sind und über Ihr Netzwerk laufen. Je sensibler die Informationen, desto gefährdeter sind sie für eine nationalstaatliche Bedrohung. Dies ist nicht nur für staatliche Stellen wichtig, sondern auch für jedes Unternehmen, das sensible Daten oder Geschäftsgeheimnisse aufbewahrt. Dies können Anwaltskanzleien, Hersteller, Finanzdienstleister, Versorgungsunternehmen, Einzelhandels- und Medienunternehmen sein. Darüber hinaus ist es wichtig, einen tiefen Einblick in die Datenverkehrsmuster in Ihrem Netzwerk zu gewinnen, damit Sie sowohl hochvolumige DDoS-Angriffe als auch kurzzeitige, niedrigvolumige Angriffe wie z.B. Stresstests erkennen können.

2) Betrachten Sie die Herkunft Ihrer IT-Lieferanten. Überprüfen Sie sorgfältig alle neuen Technologien, die Sie von Unternehmen mit Sitz in Ländern erwerben, die die größten Bedrohungen für Ihr Netzwerk darstellen. Das National Institute of Standards and Technology (NIST) ist eine nützliche Ressource, um die empfohlenen Einkaufsbeschränkungen für bestimmte Lieferanten oder Länder zu überprüfen.

3) Isolieren Sie Ihre internen Netzwerke vom Internet. Wenn der Zugriff auf das Internet für bestimmte Anwendungen oder interne Datensätze nicht erforderlich ist, isolieren Sie diese vom Internet. Eine korrekte Netzwerksegmentierung und -isolierung kann dazu beitragen, einen externen, nicht autorisierten Zugriff auf kritische Daten zu verhindern und eine Abwehr gegen IP-Spoofing und "Man in the Middle"-Angriffe aufzubauen. Bei diesen täuscht ein Angreifer eine andere Herkunft von IP-Paketen vor bzw. fängt die Kommunikation zwischen zwei befreundeten Parteien meist unbemerkt ab.

4) Setzen Sie Best Practices zur Verteidigung ein. Stellen Sie sicher, dass Sie ein vollständiges Bild davon gewinnen, was in Ihrer IT-Umgebung vor sich geht. Dies betrifft sowohl autorisierte als auch nicht autorisierte Aktivitäten – denn Sie können sich gegen nichts schützen oder verteidigen, wovon Sie nichts wissen. Discovery oder Asset Management Tools bilden hier die beste Grundlage. Verwenden Sie außerdem Technologien und Prozesse, um Ihre Angriffsfläche zu reduzieren, Angriffe zu erkennen und schnelle Maßnahmen zu ergreifen. Technologien wie Patch- und Schwachstellen-Management, Application Whitelisting, Privilegien-Management, Identitätsmanagement, Datei- und Medienschutz und Ransomware-Schutz helfen, sich gegen das Potenzial von nationalstaatlichen Angriffen zu schützen. Verlassen Sie sich auf Lösungen, die umfangreiche Daten und Erkenntnisse liefern, um Ihre Sicherheitslage konsistent zu analysieren und die Einhaltung von Vorschriften nachzuweisen.

5) Trainieren, trainieren, trainieren. Ihre Mitarbeiter können Ihre größte Schwäche oder auch Ihre wertvollste Verteidigungslinie darstellen. Stellen Sie sicher, dass Sie sie immer wiederkehrend darin schulen, bösartige Aktivitäten zu erkennen und zu melden. Und testen Sie dann ihr Wissen. Gut ausgebildete Mitarbeiter geben Ihrer Organisation eine zusätzliche Verteidigungsebene, die Sie benötigen, um böswillige nationalstaatliche Akteure am Durchbruch zu hindern.

6) Teilen Sie Ihr Wissen. Wenn Sie Einblick in eine Cyber-Bedrohung haben, teilen Sie Ihre Erkenntnisse mit anderen. Je mehr Personen Einsicht in neue Bedrohungen und Schwachstellen haben, desto besser können sich alle Unternehmen gegen das Potenzial eines nationalstaatlichen Angriffs wehren.

7) Patch-Management – Bewerten und aktualisieren Sie die Schwachstellen von Betriebssystemen und Anwendungen kontinuierlich. Keine Cybersecurity-Strategie ist ohne ein umfassendes Patch-Management vollständig. Der heutige Angriff ist ein Paradebeispiel für die Notwendigkeit, mit Software-Updates Schritt zu halten. Die doc- und pdf-Exploit-Methode ist aus zwei Gründen wirksam. 1) Die Kompromittierung eines Benutzers ist ein statistisches Spiel und 2) es wird immer eine neue Software-Schwachstelle geben, wenn Office, Acrobat, etc. ausgenutzt werden sollen.

8) Privilege Management - Admin-Rechte zurückfordern, wo immer es möglich ist. Für einen Angriff kann ein Krimineller eine Vielzahl von Tools wie Mimikatz verwenden, um die Anmeldeinformationen für ein System zu kompromittieren. Tools wie DoublePulsar kommen zum Einsatz, um eine Hintertür in eine Umgebung zu öffnen. Diese erlaubt ihm, sich quasi seitlich durch die Umgebung zu bewegen. Durch die Einschränkung der administrativen Rechte können Sie einen Angreifer verlangsamen und es ihm schwerer machen, sich in der Umgebung zu bewegen. Das trägt massiv zur Verkleinerung der Angriffsfläche der gesamten Infrastruktur bei.

9) Application Control - blockiert die Ausführung nicht vertrauenswürdiger Anwendungen. Das Dokument oder PDF, das ein Benutzer öffnet, ist in den meisten Fällen nicht die eigentliche Bedrohung, sondern der böswillige Payload, den die Datei in der Folge versucht nachzuladen und zu starten. Die Möglichkeit, nicht vertrauenswürdige Anwendungen zu blockieren, wirkt gegen viele Angriffstools. Ein solches Vorgehen bildet auch eine Zero-Day-Verteidigung, sollte ein Update noch nicht verfügbar sein, um die Schwachstelle auf Patch-Ebene zu blockieren. Traditionelles Whitelisting kann manchmal schwierig sein, daher sind dynamische Vertrauensmodelle und kontextuelle Regeln unerlässlich, um die traditionellen Schwierigkeiten bei der Einrichtung und Pflege einer Applikationskontrolle zu reduzieren.

Fazit
Es gibt durchaus Möglichkeiten, aktuelle Angriffsmethoden zu erkennen und zu verhindern. Der Aufbau eines effektiven Sicherheitsprogramms auf Grundlage einer guten Cyberhygiene und die Erweiterung um zusätzliche Funktionen, die speziell auf Bedrohungen mit hohem Risiko für Ihr Unternehmen zugeschnitten sind, ist der Schlüssel dazu. Das Center for Internet Security priorisiert Sicherheitskontrollen auf Basis ihrer Effektivität. Die BSI-Standards zur Internet-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Cyber Essentials, die Essential 8 des Australian Signals Directorate und andere etablierte Frameworks definieren ähnliche Ansätze.
(Ivanti: ra)

eingetragen: 14.07.18
Newsletterlauf: 24.07.18

Ivanti: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.

Subtile Verhaltensänderungen erkennen Was Online-Händler über Betrug wissen sollten