Security in Kurzform erklärt

Mir wurde vor einiger Zeit von einem Kunden die Aufgabe gestellt, mit wenigen Worten den Begriff
IT-Security zu erklären. Und zwar so, dass auch ein Laie versteht, was damit gemeint ist und wie IT-Security sinnvoll aufgebaut werden muss.

Grundlage: IT-Security umfasst alle Maßnahmen, die den Verlust und die Zerstörung von Unternehmensdaten, sowie Manipulationen an Fertigung und Produktion verhindern sollen. Diese negativen Eingriffe können über zwei Wege erfolgen. Über externe Angriffe oder durch interne Personen.

Fazit: Das Ziel eines jeden Angriffs sind Unternehmensdaten und Steuerungsmöglichkeiten. Daten können gestohlen, zerstört oder als Druckmittel manipuliert werden. Fertigungs- und Produktionsmaschinen können zerstört oder als Druckmittel manipuliert werden.

Eine sinnvoll aufgebaute Security-Maßnahme muss das Unternehmen sowohl vor Zugriffen von außen, als auch vor unerlaubten Zugriffen von innen sichern.

Kürzer bekomme ich das nicht hin. Etwas ausführlicher weiter unten

Unser Systemhaus aus VS-Villingen übernimmt Aufgaben aus dem Bereich der Digitalisierung und IT-Security.

  

  






Angriffe von Extern:

Das Hauptangriffsziel von außen sind Mitarbeitergeräte wie PC’s, Notebooks, Handy’s etc., die mit dem Firmennetz verbunden sind. Die Angriffe erfolgen hauptsächlich über Mails und Scripte, die im Hintergrund auf Webseiten ausgeführt werden. Weitere Angriffe erfolgen über Schadsoftware, sogenannter Maleware. Maleware sind häufig als kostenlose aber nützliche Kleinsoftware getarnt, um den Nutzer zur Installation zu animieren. Auch sehr beliebt sind Schwachstellen in eingesetzter Hard- und Software - sogenannte Exploits. Man kann sehr gut beobachten, wie sich Angriffe in diesem Bereich plötzlich konzentriert verstärken, sobald ein offizielles Patch oder Update z.B. von Microsoft angeboten wird. Daher ist ein aktuelles und schnelles Patch-Management sehr wichtig. Der Hersteller "verrät" dem Angreifer sozusagen die ungeschützte Schwachstelle.

Hat ein Angriff Erfolg, nutzt der Angreifer seine Zugriffsmöglichkeit, um sich im Unternehmensnetzwerk auszubreiten. Hierzu nutzt und installiert er verschiedenste Programme wie z.B. sognannte „Sniffer“. Diese spähen Zugangsdaten, Online-Zugänge, Passwörter etc. aus und übermitteln diese dem Angreifer. 

Es gibt verschiedene Typen von Angreifern. Die einen wollen Unternehmensdaten mit dem Ziel, diese für gutes Geld veräußern zu können. Anderen versuchen die Unternehmenssysteme außer Gefecht zu setzen. Z.B. durch Verschlüsselung aller Dateien oder Manipulationen an Maschinen. Ziel ist hier häufig ein Erpressungsdelikt. Es gibt aber auch den Typ von Angreifer, der einfach nur auf mutwillige Zerstörung aus ist.

Backups stellen hier kein Allheilmittel dar, da auch diese korrumpiert werden. Zwischen Infektion und Zerstörung vergehen leicht bis zu einem Jahr. Diesen Datenverlust kann sich kaum ein Unternehmen leisten. Hinweis des BSI:

Es gibt Schadprogramme, die gezielt Daten auf infizierten IT-Systemen löschen. Bei einigen Schädlingen wird die Löschfunktion nicht sofort bei der Infektion ausgeführt, sondern erst, wenn ein definiertes Ereignis eintritt, zum Beispiel, wenn die Systemuhr ein bestimmtes Datum erreicht.

 

Angriffe von Intern:

Auch interne Angriffe können in Kategorien unterteilt werden.

Zum einen geht es um Mitarbeiter die einen externen Angriff unterstützen, indem sie die Schutzmechanismen – z.B. die Firewall - gegen externe Angriffe umgehen und beispielsweise eine Schadsoftware installieren. Das sind sind die Böswilligen.

Mitarbeiter werden aber auch regelmäßig als unwissende Mithelfer benutzt, indem z.B. USB-Sticks mit Schadsoftware verteilt werden. In Fluren, auf Parkplätzen, in Treppengängen etc. Beim Versuch, den Besitzer des „verlorenen“ Sticks zu ermitteln, steckt der Mitarbeiter den gefundenen Stick in seinen Rechner und installiert damit automatisch eine Schadsoftware ohne dies erkennen zu können. Das sind die Naiven.

Man kann also unterscheiden zwischen vorsätzlichen und unwissenden Tätern

Der häufigste Angriff von intern erfolgt  mit der Absicht, Unternehmensdaten zu entwenden. Z.B. vor einem Wechsel des Arbeitgebers. Sei dies der Vertriebsmitarbeiter, der die Kundendaten oder der technische Zeichner, der CAD-Zeichnungen kopiert. Hinzu kommt aber auch das rein aus Neugierde getriebene Ausspähen von firmeninternen Daten wie Gehälter, Urlaubstage, Unternehmensentwicklungen etc.

Im Vergleich zu externen Angriffen, sind interne Angriffe extrem schwierig und komplex in der Verhinderung, da Mitarbeiter vom Grundsatz her Zugriff auf das System und auch auf Daten benötigen um arbeiten zu können. 

Das Erkennen von internen Angriffen bedarf spezieller Software, viel geistige Mitarbeit der Geschäftsleitung, einer ständigen Kontrolle und einer sofortigen Reaktion auf Verdachtsfälle. Daher empfiehlt sich hier ein Managed-Service mit geschultem Personal.

Dies sind nur ein paar mögliche Szenarien. Einen 100%igen Schutz kann niemand gewährleisten. Man kann nur die Hürden soweit erhöhen, dass man uninteressant für Angreifer wird. Das ROI ist für Hacker genauso wichtig, wie für die Unternehmen. 

Vor einer weiteren, besonders perfiden Art eines Angriffs warnt aktuell das Bundesamt für Sicherheit in der Informationstechnik kurz BSI: 

Es finden aktuell verstärkt Angriffe auf IT-Systemhäuser statt. Viele Systemhäuser haben aus Wartungszwecken Voll-Zugriff auf Kundensysteme. Leider sind die Sicherheitsmaßnahmen und verwendete Software der Systemhäuser in den meisten Fällen absolut unzureichend. Auch hier wird erfahrungsgemäß auf Firewall und Antivirus gesetzt. Das ist nicht genug. Mit dem Zugriff auf ein Systemhaus, hat der Angreifer in der Regel gleich Zugriff auf mehrere Unternehmen. Und wieder grüßt das ROI.

Vollständiger Bericht unter https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/BSI_warnt_vor_Ransomware-Angriffen-240419.html

Hier noch ein paar wenige, aber interessante Artikel für diejenigen, die noch nicht gelangweilt sind 😊    

Ein Artikel von Spiegel Online

Ein kleiner Maschinenbauer in Süddeutschland: ein unscheinbares Unternehmen mit einem unspektakulären und eher analogen Produkt. Allerdings ist die Firma auf ihrem Gebiet ein Hidden Champion, ein Weltmarktführer, ihr Wissen weltweit begehrt. "Wir würden einen Angriff oder Hack selbst gar nicht bemerken", sagt der IT-Sicherheitschef, denn die Firewall, den Schutz nach außen, hat er an die Telekom vergeben - und die informiert darüber nicht. 

Nach Erkenntnissen des Bundesamts für Verfassungsschutz sind gerade jene kleinen und mittleren Unternehmen, die stark in Forschung und Entwicklung investieren, das bevorzugte Ziel von Spionageattacken fremder Nachrichtendienste und Ausspähungen durch Konkurrenten. 60 Prozent aller "Hidden Champions" haben ihren Sitz in Deutschland. 

Ein begabter Hacker mit entsprechender technischer Ausrüstung dürfte zwar in so gut wie jedes Firmennetzwerk eindringen können, wenn er genügend Zeit, Geld und Energie er darauf verwendet. Am einfachsten und schnellsten aber geht es über die Mitarbeiter. Das Ausnutzen menschlicher Schwachstellen im System läuft unter dem Begriff Social Engineering, frei übersetzt: Sozialmanipulation.

Trojaner-Mail mit Betreff "Vorschläge zum Personalabbau"

E-Mails sind das beliebteste Mittel, um Späh- und Schadprogramme ins Unternehmensnetzwerk einzuschleusen. In der Zwischenzeit sind sie sehr sorgfältig gestaltet. Der Absender stammt ganz offensichtlich aus dem Unternehmen, die Signatur ist korrekt, die Anrede stimmig. Leider ist die Mail nicht wirklich für den Empfänger vorgesehen, sondern sollte eigentlich in der Personalabteilung landen. Hat sich offenbar jemand vertippt? Im Anhang befindet sich eine Datei mit dem Titel "Zeitnahe Maßnahmen bezüglich Personalabbau". Natürlich ein Trojaner. Diese Mail geht an 10, 20 oder auch 100 Mitarbeiter raus.

In der Security-Branche wird übrigens nicht darauf gewettet, wie viele diesen Anhang öffnen, sondern wie viele Sekunden es dauert, bis der erste ihn ausführt. Sekunden !  

Noch ein Beispiel: Bei einem kleineren Unternehmen aus der Dienstleistungsbranche wurden große Datenmengen gelöscht - mitten in der Nacht. Von jemandem, der die Administratorrechte für die gesamte Domäne hatte. Bald war klar: 15 Mitarbeiter hatten entsprechende Möglichkeiten, dazu kamen weitere Mitarbeiter von Dienstleistern - die Spurensuche verlief im Sande. Das ist kein Einzelfall, wie eine Befragung des Branchenverbandes Bitkom ergeben hat.

Ein weiterer Artikel des BSI:

Aktuelle Information zur Schadsoftware Emotet

Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im Moment ganze Netzwerke: Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht auch in Deutschland aktuell hohe Schäden. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen erhalten, die im Zusammenhang mit Emotet stehen. Das Schadprogramm wird über Spam-Kampagnen verteilt und stellt eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. 

Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms. Das funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL. 

Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System. In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten. Für Privatanwender kann eine Infektion den Verlust von Daten, insbesondere wichtiger Zugangsdaten, bedeuten. 

Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen. 

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. 

Ihr Security-Spezialist
in Villingen-Schwenningen