NEUE BEITRÄGE
Guten Rutsch ins neue Jahr
Wir wünschen allen Kunden und Besuchern der iKomm GmbH einen guten Rutsch ins neue Jahr 2022. Kommen Sie gut rüber und bleiben Sie gesund. Auf ein neues frohes 2022.
Frohe Weihnachten
Die iKomm GmbH wünscht Ihnen und Ihren Familien ein besinnliches Weihnachtsfest und einen guten Rutsch ins neue Jahr. Wir bedanken uns für die wunderbare Zusammenarbeit mit Ihnen und freuen uns wenn wir auch im kommenden Jahr gemeinsame Projekte durchführen können. Wir freuen uns auf das kommende Jahr 2022 und auf neue spannende Projekte mit Ihnen. Vielen Dank für Ihr Vertrauen.Ihr iKomm Team
Zero-Day-Lücke in Log4j
Zero-Day-Lücke in Log4j – Kritische Sicherheitslücke gefährdet zahlreiche Server und Apps. Apple, Twitter, Amazon und tausende andere Dienste sind anfällig. Die ersten Angriffe laufen bereits und wurden dokumentiert. Administratoren müssen sofort handeln. Zero-Day-Lücke in Log4j Eine Zero-Day-Sicherheitslücke names Log4Shell ermöglicht es Angreifern beliebigen Code auszuführen. Über die weit verbreitete Java-Logging-Bibliothek Log4j können Attacken auf viele Server und Apps durchgeführt werden. Dienste wie Apple, Twitter, Steam und Amazon sind betroffen aber auch viele kleinere Angebote. Es gibt bereits ein Proof-of-Concept Code der das Ausnutzen der Lücke demonstriert. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell). Verwundbare Projekte Die Lücke hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Auch das BSI warnt vor dieser Lücke und Administratoren sollten dringend handeln. Viele Anwendungen verwenden die Log4j-Bibliothek und all diese sind von der Sicherheitslücke betroffen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere. Die Bibliothek Betroffen ist die Log4j Bibliothek von der Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Weitere Informationen finden Sie auch hier: https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html?wt_mc=rss.red.security.alert-news.atom.beitrag.beitrag https://www.spiegel.de/netzwelt/web/log4-j-schwachstelle-ja-leute-die-scheisse-brennt-lichterloh-a-760bd03d-42d2-409c-a8d2-d5b13a9150fd#ref=rss?sara_ecid=soci_upd_wbMbjhOSvViISjc8RPU89NcCvtlFcJ Haben Sie Fragen? Unsere Techniker stehen Ihnen gerne zur Verfügung. Kontaktieren Sie uns!
BEDROHUNGEN
ProxyShell Angriffswelle auf Exchange-Server
ProxyShell Angriffswelle auf Exchange-Server – Die Sicherheitslücken sind bekannt, es existieren Patches und dennoch sind tausende Exchange Server angreifbar. Nun startet eine große Angriffswelle welche die Schwachstellen ausnutzt. Bereits seit Freitag, 20. August läuft eine massive Angriffswelle auf die ungepatchten Exchange Server Version 2013 bis 2019. Die sogenannte ProxyShell-Schwachstelle ist das Ziel der Angreifer. Wir haben bereits über diese Schwachstellen berichtet. Sicherheitsforscher haben binnen 48 Stunden über 1900 Übernahmen von Exchange-Server beobachten können. ProxyShell Angriffswelle auf Exchange-Server Bereits Anfang August hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz auf die Schwachstellen hingewiesen bzw. die Angriffsszenarien vorgestellt. Kurze Zeit darauf wurden auch die ersten Scans im Internet nach verwundbaren Exchange Servern dokumentiert. Durch eine Kombination von drei Schwachstellen sind ProxyShell-Exploits per Remote-Angriffe auf die Systeme möglich. Das gilt nur für Server die ungepatcht sind, denn Microsoft hat bereits Updates und Patches zur Verfügung gestellt. Die beschriebenen Schwachstellen lauten: CVE-2021-34473 (als „kritisch“ eingestuft), CVE-2021-34523 (ebenfalls „kritisch“) und CVE-2021-31207 („mittel“). Über die Suchmaschine Shodan lassen sich ca. 240.000 Exchange Server aus dem Internet ermitteln. Ca. 46.000 davon sollen angreifbar sein. In Deutschland sollen es ca. 7800 Exchange Server sein welche per ProxyShell-Exploit verwunbar sind. Fast 2000 infizierte Server in 48 Stunden Auch Sicherheitsforscher von HuntressLabs verfolgen die Angriffe und schlagen Alarm. In ihrem Blog führen fünf verschieden Arten von WebShells vor, welche über die ProxyShell-Angriffsszenarien eingesetzt werden können. Über WebShells verschaffen sich die Cyberkriminellen erhöhte Rechte am System und damit eine Hintertür zu weiteren Aktivitäten. In nur 48 Stunden wurden weltweit über 1900 Exchange Server infiziert. Betroffen sind dabei alle gängigen Versionen des Microsoft Exchange Servers (2013,2016 und 2019). Zahlreiche Unternehmen sind bereits betroffen darunter sind laut Informationen der Sicherheitsexperten auch Unternehmen aus der Verarbeitungsindustrie für Meeresfrüchte, Industriemaschinen, Autowerkstätten und weitere Firmen. Patches seit April 2021 Die Patches für die Schwachstellen hat Microsoft bereits im April 2021 veröffentlicht. Microsoft wusste also bereits vor der Vorstellung der Schwachstellen auf der Hackerkonferenz von den Problemen. Seit Wochen werden Administratoren aufgefordert ihre Exchange Server zu patchen. Wer bisher noch nicht gepatcht hat, könnte bereits mit einer WebShell als Backdoor infiziert sein. Die Patches entfernen diese aber nicht. Wie Sie Infektionen finden hat Heise.de bereits ausführlich beschrieben.
Was ist Vishing?
Was ist Vishing? Viele würden meinen es handele sich hierbei um ein Tippfehler, doch weit gefehlt. Vishing ist ein besondere Art von Phishing. Der Begriff Phishing ist mittlerweile geläufig geworden. Cyberkriminelle versuchen sich über bestimmte Techniken und Methoden Zugriffe zu Systeme zu verschaffen oder bestimmte Inhalte zu stehlen. Die Angreifer angeln nach potenziellen Opfern um sich so zu bereichern. Am Ende geht es immer um das liebe Geld in Form von Erpressungsversuchen und mehr. Mit Vishing wird eine weitere Variante des Phishings immer beliebter. Was ist Vishing? Vishing ist Phishing per Telefon. Betrügerische Anrufe von angeblichen Support-Mitarbeitern, die Zugriff auf Ihren Computer haben möchten oder vermeintlich besorgte Finanzbeamte, die Zahlungen anfordern, Lieferanten von Medizinprodukten, die zurückrufen und vieles mehr. Immer häufiger werden Angriffe über das Telefon registriert. Gerade durch die Covid-19 Pandemie ist die Masche immer beliebter geworden. Durch den Wechsel auf Remote-Arbeitsmodelle ist das Telefon zu einem beliebten Tool für Betrüger geworden. Laut Daten aus 2019 der US-amerikanischen Handelskommission FTC führten rund 6% der Betrugsanrufe zu finanziellen Verlusten. Experten sagen, dass jeder einem Fake-Anruf zum Opfer fallen kann. Es gibt gerissene Betrüger, die sogar das Vertrauen der wachsamsten Personen gewinnen können. Vishing ist konservativer als das normale Phishing, da Telefonate eine ältere Kommunikationsform sind. Durch massive Datenlecks kommen Betrüger an weit mehr Informationen über quasi allen Menschen auf dem Planeten. Das kommt den Angreifern zu gute, sowie auch das rasche ausbreiten von Internet-Telefonie Voice-over-IP. Hier lassen sich Telefonnummern einfacher manipulieren und verwischen. Welche Betrugsmaschen gibt es? Im Prinzip gibt es nichts was man sich nicht vorstellen könnte. Anrufe von Support-Mitarbeitern, Telemarketing, Behörden, Banken und vieles mehr. Die Methoden variieren und können teilweise auch miteinander kombiniert werden. Beispielsweise versuchen Betrüger oft sich als Behörden auszugeben welche Steuern vom Unternehmen eintreiben müssten. Also Finanzbeamte die ausstehende Zahlungen fordern. Dabei werden häufig zwei Optionen angeboten: Entweder sofort zahlen oder es drohen Bußgelder und Verzugszinsen. Mit Zeitdruck wird versucht die Mitarbeiter einzuschüchtern und zum handeln zu bringen. Der technische Support-Mitarbeiter ist ebenfalls ein häufiges Angriffsszenario. Die Angreifer verschaffen sich Zugriff zum Systems des Mitarbeiters in dem Sie Hilfe bzw. Unterstützung bei einem speziellen Problem vorgaukeln. Sind die Kriminellen erst mal auf dem System wird Malware installiert und das System so infiziert. Bei Unternehmen können dann unter Umständen auch andere Systeme angegriffen werden um so dem Erpressungsversuch Nachdruck zu verleihen. Betrugsanrufe erkennen Betrugsanrufe zu erkennen ist nicht immer einfach. Wie bereits erwähnt kann prinzipiell jeder darauf reinfallen. Es gibt aber durchaus Anzeichen die einen stutzig machen sollten und vorsichtshalber den Anruf abblocken sollten: Wenn ein Anruf, der angeblich von einer Behörde oder einer Bank stammt, mit einem Handy getätigt wird, handelt es sich höchstwahrscheinlich um Vishing. Stammt die Nummer aus einem anderen Land oder einer anderen Gegend wird es wohl auch nicht legitim sein. Dennoch sind die Telefonnummern keine sichere Anzeichen, denn diese können über Call-ID-Spoofing auch gefälscht werden. Wenn jemand Sie dazu drängt Zahlungen zu tätigen und außerdem eine Frist angibt, ist es definitiv ein Betrugsversuch. Sollte ein Anrufer Sie dazu überreden, eine bestimmte Software auf Ihrem Computer zu installieren, um ein Problem zu lösen, dessen Sie sich gar nicht bewusst waren, kann das nicht gut ausgehen. Wenn Anrufer vertrauliche Informationen erhalten möchten und das versucht mit Drohungen zu erreichen, ist das auch ein Anzeichen von Vishing. Jeglicher Versuch an private Informationen heranzukommen, ist ein Warnhinweis für Betrug. Wenn Sie auch nur einen der oben genannten Anzeichen entdecken, legen Sie am besten direkt auf. Rufen Sie danach direkt das Unternehmen oder die Behörde an, die Sie angeblich gerade kontaktiert hat, um den Vorfall zu melden: Je mehr Informationen zur Betrugsmasche zur Verfügung stehen, umso wahrscheinlicher ist es, dass der Betrüger erwischt wird oder wenigstens der Betrug weitgehend verhindert werden kann. Verwenden Sie außerdem zuverlässige Sicherheitslösungen, die gefährliche Anwendungen rechtzeitig erkennen können.
Ransomware-Angriffe sind teuer
Ransomware-Angriffe sind teuer – Jedes Unternehmen welches bereits Opfer eines Angriffs wurde konnte das feststellen. Ransomware-Angriffe kosten im Durchschnitt 570.000 US-Dollar. Ein neuer Ransomware-Report gibt Informationen zu den Zahlen und Fakten. Ransomware-Angriffe sind teuer Seit 2020 steigen die durchschnittlichen Lösegeldzahlungen bei Ransomware-Angriffen stetig an. Im ersten Halbjahr 2021 steigt der Wert auf die Rekordsumme von 570.000 US-Dollar. Das ist eine Anstieg um 82% Prozent im Gegensatz zum Jahr 2020. Die Lösegeldforderungen sind sogar um 518 Prozent an und betrug im Durchschnitt 5,3 Millionen US-Dollar. Diese Daten gehen aus dem letzten Ransomware-Report des IT-Sicherheitsunternehmen Palo Alto hervor. Kriminelle werden immer aggressiver Immer aggressivere Taktiken von Cyberkriminellen sind zu beobachten. Viele IT-Sicherheitsexperten gehen davon aus, dass Kriminellen weiterhin aggressivere Taktiken anwenden werden, um Unternehmen zur Zahlung von größeren Lösegeldforderungen zu zwingen. Oftmals wird ein Angriff mit mehreren Techniken durchgeführt wie beispielsweise Verschlüsselung von Daten, Datendiebstahl, DoS-Attacken (Denial-Of-Service) und auch Belästigungen. Die Angreifer sind dabei sehr hartnäckig und geben nicht so schnell auf. Teilweise werden bei Betrugsmasche von falschen Rechnungen bis zu 10 Mahnungen nachgereicht. Man versucht auf diese Art die Unternehmen einzuschüchtern oder hat die Hoffnung, dass neue Mitarbeiter in der Finanzabteilung, die angeblich offene Rechnung bezahlen. Viele kombinierte Angriffe führen bei den Angreifern immer häufiger zum Ziel. Die bisher größte bestätigte Lösegeldzahlung sind 11 Millionen US-Dollar von dem Fleischkonezern JBS S.A aus Brasilien, der nach Angriffen im Juni zeitweise sogar fünf Fabriken schließen musste. Auch IT-Unternehmen selbst betroffen Auch IT-Unternehmen sind hiervon betroffen und müssen sich gegen die Gefahren der Cyberkriminellen schützen. So traf es vor kurzem den Hardware Hersteller Gigabyte. Hinter dem Angriff vermutet man eine Gruppe die unter dem Namen RansomEXX agiert. Die Angreifer sollen Daten verschlüsselt und auch entwendet haben. Die Support-Seite des Herstellers war davon ebenfalls betroffen und zeitweise nicht mehr erreichbar. Für alle Unternehmen ist es wichtig, ein kombiniertes Sicherheitskonzept zu erstellen um die eigenen Infrastrukturen zu schützen. Dabei kommen viele Tools und Anwendungen zum Einsatz die Ihr Unternehmen vor Angriffen aus dem Cyberspace schützen können. Möchten Sie mehr erfahren? Gerne unterstützen wir Sie bei der Ausarbeitung eines Sicherheitskonzeptes für Ihr Unternehmen. Sprechen Sie uns an.
Exchange Server Lücken jetzt patchen
Exchange Server Lücken jetzt patchen – Angreifer suchen aktiv nach neuer Lücke. Der Exchange Server ist immer wieder ein beliebtes Ziel von Cyberkriminellen. Die meisten Angriffe werden per E-Mails durchgeführt und dabei werden auch oft die E-Mail Server als Angriffsziel ausgewählt. Microsoft Exchange Server bietet hier ein beliebtes Ziel, da der Marktführer Microsoft und das Produkt Exchange extrem oft zum Einsatz kommt. Exchange Server Lücken jetzt patchen Auf der Black Hat 2021 Konferenz in der vergangenen Woche stellt der Sicherheitsforscher Orange Tsai neue Angriffe auf das System Exchange Server vor. Nur wenige Tage nach der Vorstellung auf der Konferenz konnten Honeypot-Betreiber feststellen, dass genau diese Lücken gesucht werden um diese ausnutzen zu können. Administratoren sollten also schnell die aktuellen Exchange Patches einspielen. Microsoft stellt die Patches bereits seit April bereit. Demnach hat Microsoft schon vorher von diesen Sicherheitslücken erfahren. Gleich drei CVE-Nummern sind für die Problematik beschrieben worden. (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) Unter dem Namen ProxyShell wurden die Angriffe bereits dokumentiert. In den KBs KB5001779 und KB5003435 macht Microsoft auf die Sicherheitslücken aufmerksam bzw. stellt die Patches bereit. Was ist das Problem? Mehrere Probleme musste Orange Tsai kombinieren um als unauthentifizierter Benutzer von außen mehr Rechte zu erhalten. Die Schwachstelle liegt im Client Access Service (CAS) von Exchange. Hier wickeln verschiedenen Protokolle den eingehenden Verkehr ab. Das Problem liegt in der Autodiscover-Funktion. Die Funktion soll dem Benutzer helfen bzw. es ihm ersparen Serveradresse, Port und weitere Details einzutippen. Genau hier wurde die Schwachstelle gefunden und ausgenutzt. Hacker informieren sich Der Sicherheitsforscher Kevin Beaumont beobachtet bereits kurze Zeit nach der Konferenz und Veröffentlichung der Sicherheitslücken, Einträge im Log, in denen genau diese Lücke ausspioniert wurde. Damit ist relativ wahrscheinlich das Angreifer, Hacker sich gut informieren und auch die IT-Sicherheitskonferenzen verfolgen. Sicherheitsforscher Orange Tsai kann nicht auf eine Belohnung aus dem Microsofts Bug-Bounty-Programm hoffen. Der Exchange Server ist von dem Programm ausgeschlossen. Keine Lust mehr auf ständige Updates des eigenen Exchange Servers? Sehen Sie sich jetzt die Vorteile von Microsoft 365 an.
Phishing Angriffe erkennen
Phishing Angriffe erkennen – Attacken aus dem World Wide Web werden sehr häufig über das Medium E-Mail gestartet. Dabei versuchen Angreifer Passwort-Anmeldeinformationen zu stehlen, betrügerische Transaktionen durchzuführen oder Internet-User gezielt zum Download von Malware zu verleiten. Doch nicht alle Angriffe funktionieren auf die gleiche Art und Weise. Manche Phishing E-Mails sind generische Massen-E-Mails, andere wiederum wurden sorgfältig ausgearbeitet um bestimmte Personen damit zu adressieren. Phishing Angriffe erkennen Es wird also immer schwieriger Mitarbeiter und Mitarbeiterinnen auf die verschiedenen Arten der Phishing E-Mails zu schulen. Die gezielten Angriffe werden auch immer besser gestaltet so dass es selbst für gut ausgebildetes Personal immer schwieriger wird zu erkennen ob es sich um eine Phishing E-Mail handelt. Es gibt eine Reihe unterschiedlicher Arten von solchen E-Mails die wir Ihnen hier vorstellen möchten: Verbreitung von Massen E-Mails Eine der häufigsten Formen ist die Massen-E-Mail. Ein Angreifer sendet E-Mails, die vorgeben, jemand anderes zu sein. Häufig wird versucht den Empfänger auf Webseiten zu leiten die wiederum Malware enthalten. Im Zusammenhang mit dieser Variante wird auch oft das E-Mail-Spoofing angesprochen, bei dem das Absenderfeld der E-Mail gefälscht wird. Man will hiermit einen vertrauenswürdigen oder bekannten Absender imitieren. Spear-Phishing Beim Spear-Phishing werden nicht zufällige Opfer anvisiert, sondern oftmals vorab ausgewählte Unternehmen oder Anwender. Es werden gezielt hochwertige Opfer ausgesucht und attackiert. Anstatt zur versuchen, die Bankdaten von 1000 Usern zu erbeuten, kann es für Hacker lukrativer sein, ein bestimmtes Unternehmen ins Visier zu nehmen. Spear-Phishing Angriffe sind oft sehr erfolgreich weil die Angreifer gezielte Informationen zu Ihren Opfern zusammentragen und diese dann nutzen können. Whaling Eine weitere Variante des Phishings ist das sogenannte „Whaling“. Es sind abgestimmte Angriffe auf die Führungskräfte von Unternehmen, die CEOs oder andere namhafte Mitarbeiter und Mitarbeiterinnen eines Konzerns. Beispielsweise öffnen die gestohlenen Zugangsdaten eines CEOs den Hackern weit mehr Türen also eines normalen Angestellten. Die Angreifer müssen hierfür aber noch weitere Informationen zu den Opfern besitzen, beispielsweise mit wem die Opfer kommunizieren und welche Art von Gesprächen sie führen. Mit diesen Informationen können dann gezielte, gefälschte E-Mails an die Opfer versendet werden. In der Vergangenheit haben Kriminelle auf diese Art und Weise schon mehrere hundert Millionen Euro erbeutet. Business-E-Mail-Compromise (BEC) Mit falschen Identitäten das Gegenüber zu bestimmten Handlungen zu verleiten. Ziel ist es Schlüsselpersonen in Finanz- und Buchhaltungsabteilungen zu attackieren. Hacker geben sich selbst als Finanzverantwortliche oder CEOs aus und versuchen Mitarbeiter dazu zu bringen, Überweisungen auf nicht autorisierte Konten zu veranlassen. In der Regel wird hierbei ein E-Mail Konto eines leitenden Angestellten kompromittiert durch Spear-Phishing oder andere Angriffe. Angreifer überwachen oft die E-Mail Aktivitäten einer bestimmten Führungskraft um sich über die Abläufe im Unternehmen zu informieren. Der eigentliche Angriff wird durch eine gefälschte E-Mail ausgelöst, welche den Anschein erweckt, dass sie von der Führungskraft stammt. Klon-Phishing – Phishing Angriffe erkennen Hacker erstellen eine nahezu identische Kopie einer bestimmte E-Mail, um den Anschein zu erwecken, dass sie echt ist. Die E-Mail wird von einer Adresse gesendet welche dem Absender sehr ähnlich ist. Der Link darin oder der Anhang wurde dabei ausgetauscht. Im Text versucht der Angreifer dem Empfänger zu täuschen in dem von einer aktualisierten E-Mail gesprochen wird. Das sei der Grund warum die E-Mail doppelt versendet worden sei. Der kleine Unterschied ist dem Empfänger oftmals nicht bewusst. Daher funktionieren diese Angriffe auch häufig sehr gut, weil es ja um vermeintliche legitime Nachrichten geht. In Wahrheit ist auch das eine Täuschung und verleitet den Benutzer auf Malware-Verseuchte Webseiten. Teilweise werden auch gesamte Webseiten kopiert um den Benutzer in Sicherheit zu wiegen. Es gibt noch weitere Arten des Phishing zum Beispiel über das Telefon oder per SMS. Phishing über das Telefon könnte man mit Social Engineering gleichsetzten. Hierbei wird über das Telefon versucht an bestimmte Daten heranzukommen. Auch die Angriffe per SMS nehmen zu, da die Wahrscheinlichkeit, dass Menschen Textnachrichten lesen und darauf reagieren, höher als bei E-Mails eingestuft wird. Gerne stellen wir Ihnen unsere Lösungen im Bereich Anti-Phishing vor. Spreche Sie uns an!Jetzt E-Mails absichern mit dem iKomm Ultimate E-Mail Bundle.
Cyber-Attacke Kaseya – 70 Millionen Dollar Lösegeld gefordert
Die Cyber-Attacke Kaseya zieht ihre Kreise. Bereits vergangene Woche wurde zahlreich in den Medien über die Cyber-Attacke Kaseya berichtet. Das amerikanische IT-Dienstleistungsunternehmen Kaseya wurde Opfer eines groß angelegten Cyberangriffs. Das Unternehmen wurde vermutlich von der Hackergruppe REvil attackiert. Die Cyberkriminellen nutzen eine Schwachstelle im Programm um die Kunden von Kaseya zu attackieren, Daten zu verschlüsseln und Lösegeld zu fordern. Cyber-Attacke Kaseya REvil behauptet, mehr als eine Million Computer infiziert zu haben. Das Ausmaß über die Schäden ist bislang kaum zu überblicken. Die Hackergruppe forderte mit Ihrer Erpressersoftware rund 70 Millionen Dollar von den betroffenen Unternehmen. Bei Zahlung sollten die betroffenen einen Generalschlüssel erhalten um die Systeme wieder zu entschlüsseln. Der Betrag sollte in Bitcoin bezahlt werden, so hieß es in einem Blogbeitrag von der IT-Sicherheitsfirma Sophos. Kassensysteme von Supermarkt-Kette lahmgelegt Unter den betroffenen Unternehmen ist auch eine schwedische Supermarkt-Kette Coop, die wegen nicht funktionierender Kassen vorübergehend 800 Filialen schließen musste. Kaseya berichtete zunächst von weniger als 40 Kunden die betroffen sein sollen, inzwischen ist deutlich geworden das es mindestens zwischen 800 und 1500 Kunden sind. Kaseya hat viele Dienstleister die wiederum Kunden haben welche ebenfalls betroffen sein können. Es stellt sich eine Art Domino-Effekt ein. Kaseya bietet Softwareprogramme für Firmen an, die ihren Kunden administrative und organisatorische Arbeiten abnehmen. REvil steht im Verdacht, das Desktop-Management-Tool VSA gehackt zu haben und ein schadhaftes Update aufgespielt zu haben. Dieses Update infizierte die IT-Dienstleister bzw. Management Anbieter und diese infizierten dann wiederum ihre eigenen Kunden. Bis auf die schwedische Supermarkt-Kette sind allerdings keine Produktionsausfälle bisher bekannt geworden. Supply-Chain-Attacke Im Zusammenhang mit diesem Angriff sprechen die Experten von einer sogenannten „Supply-Chain-Attacke“. Also ein Angriff auf die Lieferketten von Unternehmen bzw. auf die gesamte Kette von Lieferanten, Partner und Kunden. Diese Angriffe habe laut Thomas Uhlemann, IT-Spezialist bei ESET in Jena, deutlich zugenommen. Auch in Deutschland waren Kunden bzw. IT-Dienstleister von der Attacke auf Kaseya betroffen. Ein Sprecher des Bundesamt für Sicherheit und Informationstechnik sprach von tausenden Computern bei mehreren Unternehmen. Bereits vor einigen Wochen wurde der Fleischkonzern JBS Opfer einer Cyber-Attacke von REvil. Das Unternehmen musste mehrere Werke für Tage schließen. Laut Berichten zahlte das Unternehmen 11 Millionen US-Dollar in Bitcoin an die Hackergruppe. Auch andere Unternehmen stehen im Visier der Cyberkriminellen. Kurz vor dem Fall JBS gab es einen Angriff auf eine der größten Benzin-Pipelines in den USA. Immer häufiger werden nicht nur einzelne Unternehmen attackiert sondern ganze Netzwerke bzw. Lieferketten von Unternehmen. So können die Kriminellen noch mehr Opfer gleichzeitig erpressen. Wie können Sie sich schützen?Gerne stellen wir Ihnen unsere Lösungsansätze und Sicherheitstechnologien vor. Wir beraten Sie mit unserer 12-jähriger IT-Security Erfahrung und arbeiten mit Ihnen Hand in Hand um solche Fälle wie beschrieben so gut wie möglich zu vermeiden. Sprechen Sie uns an!
SICHERHEIT
Warum Pentests wichtig sind
Warum Pentests wichtig sind – Unternehmen sollten mehr auf Pentests setzen. Täglich wird der Datentraffic größer und so auch das Risiko von Angriffen durch Hacker. Mithilfe von Pentests können Unternehmen bereits im Vorfeld ihre sensiblen und wertvollen Daten schützen, noch bevor ein Angriff auf die Systeme stattfindet. Mit einem Penetrationstest werden Hacker-Angriffe simuliert, um zu ermitteln, wie sicher die Infrastrukturen, Netzwerke Apps und Anwendungen der Unternehmen sind. Warum Pentests wichtig sind Mit der Simulation eines Hackerangriffs können Unternehmen die Sicherheitslücken in ihrer Infrastruktur, Netzwerken oder in Anwendungen ausfindig machen. Bevor also ein wirklicher Angriff stattfindet, kann so herausgefunden werden, wo man eventuelle Verbesserungen vornehmen kann oder noch mehr in Sicherheit investieren muss. In der Corona Pandemie konnten wir sehen, dass der täglich Datentraffic im Internet angestiegen ist. Durch Home-Office, Homeschooling und vieles mehr. Das Datenvolumen lag 2018 bei ca. 33 Zetabyte. Für 2025 wird eine Datennutzung von 175 Zettabyte prognostiziert – ein Anstieg um etwa 530 Prozent innerhalb von weniger als 10 Jahren. Laut SoSafe bietet der erhöhte Datentraffic auch eine breitere Angriffsfläche für Cyber-Kriminelle. Noch mehr Angriffe wird es in Zukunft geben erklären viele Experten, allein schon aus dem Grund der erhöhten Datenlast im Internet. Mehr Traffic, mehr Risiko Wie gefährlich Angriffe von Hackern und Cyber-Kriminellen werden können, haben diverse Unternehmen bereits erfahren müssen. Auch die Technische Universität (TU) Berlin wurde Ende April 2021 Opfer einer Attacke. Windows-Teilbereiche wurden dabei lahm gelegt. Studierende und Mitarbeiter waren nicht mehr in der Lage E-Mails zu versenden da man aus Sicherheitsgründen die Server heruntergefahren hat. Auch das SAP-System war betroffen und erst nach einigen Tagen wieder einsatzbereit. Pentests bieten präventiven Schutz Mit einem Penetrationstest oder Pentest werden Hacker-Angriffe simuliert. Schwachstellen oder Lücken lassen sich so schnell aufdecken bevor sie Hacker finden. Getestet werden dabei die Infrastrukturen der Netzwerke sowohl von extern als auch intern, sowie auch Apps und Anwendungen bzw. Webanwendungen. Im Prinzip ist ein Pentest ein beauftragter Hack um definieren zu können welche Sicherheitsmaßnahmen getroffen werden können oder getroffen werden müssen um das Unternehmen bestmöglich vor Angriffen schützen zu können. Dabei können Konfigurationsfehler aufgedeckt werden, mangelnde oder fehlende Sicherheitsmechanismen ersichtlich gemacht werden oder auch die Struktur der Netzwerke analysiert werden. Diverse Tools helfen die notwendigen Informationen zu erhalten. In jedem Fall sollten Unternehmen sich präventiv schützen und auch die Überlegungen von Pentests in Betracht ziehen. Ein Auto kaufen viele auch nicht ohne eine Probefahrt vorab. In vielen Bereichen unseres Lebens gehen wir auch Nummer sicher. Warum nicht auch in der IT-Infrastrukturen von Unternehmen? Gerne bieten wir Ihnen weitere Informationen zu Pentests an. Die iKomm GmbH führt mit diversen Partnern ebenfalls Penetrationstests durch. Dabei können Sie zwischen verschiedenen Modellen auswählen was genau Sie testen möchten. Sprechen Sie uns an! Wir freuen uns mit Ihnen gemeinsam ihre Unternehmens-Netzstrukturen sicherer zu gestalten. Weitere Tipps und Empfehlungen zum Thema Pentest finden Sie auch in diesem Artikel.
Lieferketten unzureichend gesichert
Lieferketten unzureichend gesichert – Immer häufiger werden Cyber-Angriffe gegen die Lieferketten von Unternehmen vorgenommen. Der Global Supply Chain Report von Interos belegt, dass rund 145 Millionen Dollar Umsatz pro Jahr im Schnitt verloren gehen für Unternehmen in der DACH-Region. Ursache der Störungen der Lieferketten sind häufig Angriffe mit Verschlüsselungstrojanern. Lieferketten unzureichend gesichert Nicht nur der finanzielle Schaden der durch die Cyber-Attacken entsteht ist relevant, sondern auch die Reputation von Unternehmen ist betroffen. Laut dem Report von Interos soll es bereits bei 83% der betroffenen Unternehmen zu Reputationsschäden gekommen sein. Das hat zur Folge, dass Kunden ihr Vertrauen in das Unternehmen verloren haben. Die Probleme von Unternehmen im Bereich der physischen und digitalen Lieferketten auf Grund von Attacken stellen für alle Unternehmen ein großes Problem dar. Kommen weitere Faktoren hinzu die sich auf die Lieferketten auswirken wie beispielsweise die Corona-Pandemie, können weitere wirtschaftliche Schäden und Nachteile für Firmen in Deutschland, Österreich und Schweiz (DACH-Region) entstehen. Generell sind alle Konzerne die weltweit agieren davon betroffen und Angriffe auf die Lieferketten bzw. Angriffe mit Verschlüsselungssoftware sind für alle ein hohes wirtschaftliches Risiko. Rund 80% der Unternehmen betroffen Rund 80% der befragten Unternehmen aus dem Report verzeichneten in den vergangenen zwei Jahren Vorfälle im Bereich Cyber-Security. Angriffe mit einer Ransomware wie REvil kommen immer häufiger vor. Laut der Studie ist vor allem eines wichtig: ein komplett transparente Lieferkette. Unternehmen müssen darüber informiert sein, wie die einzelnen Glieder der Supply Chain miteinander verknüpft sind. Nur mit diesem Informationen kann das Risiko abgeschätzt werden, was ein Ausfall von Lieferanten bedeuten kann. Doch nur ein Drittel der Unternehmen führt regelmäßig ein Assessment durch und knapp ein Viertel greift auf automatisierte Prozesse zurück. Das Fazit der Studie: Die jetzigen Maßnahmen reichen in den meisten Fällen nicht aus, um einen zufriedenstellenden Schutz der Lieferketten zu garantieren. Gerne unterstützen wir Sie mit unserer 12-jährigen Erfahrung mit IT-Security. Sprechen Sie uns an!
Der Wert von IT-Sicherheit
Der Wert von IT-Sicherheit ist oftmals abhängig von Budgets und zeitlichen Ressourcen. Vor allem präventive Maßnahmen wie Security-Awareness oder Mitarbeiter-Trainings haben es besonders schwer. Oft werden hier die Ressourcen für Software oder ähnliches nicht freigegeben. Dabei sind präventive Maßnahmen ein wichtiger Bestandteil einer guten IT-Security-Strategie. Doch nicht nur die vorbeugenden Maßnahmen sind ein wichtiger Teil, auch die Sicherheitstechnologien die Sie sofort und aktiv schützen sind ein zentraler Bestandteil einer durchdachten Strategie. Doch wie können Sie diese Themen in der Führungsebene des Unternehmens platzieren? Der Wert von IT-Sicherheit Cyberangriffe gehören zu den größten Betriebsrisiken. Zehntausende Unternehmen sind jedes Jahr von Hackerangriffen betroffen. Vor kurzem waren mehrere tausend Unternehmen von den Attacken auf Microsoft betroffen. Auch Abgeordnete des Bundestages sind immer wieder Ziel von Cyberangriffen. Mit dem aktuellen Stand der IT-Sicherheit in Organisationen ist es allerdings nicht überraschend, dass Kriminelle immer wieder Einfallstore finden. Im besonderen Fokus steht der Faktor „Mensch“, denn von hier aus starten ca. 90 Prozent aller Cyberattacken. Sicherheitsverantwortliche wissen längst dass ein gewisser Nachholbedarf bei vielen Unternehmen vorhanden ist. Das zeigen beispielsweise Analysen im SoSafe Human Risk Review 2021. Der Großteil möchten ihre Bestrebungen im Bereich der IT-Sicherheit zukünftig steigern. Vor allem im Bereich der Mitarbeitersensibilisierung. Dennoch hat die IT-Sicherheit generell keinen leichten Stand innerhalb der Gesamt-IT-Budgetierung. Laut dem Research-Unternehmen Gartner berichtet, verteilen Firmen weltweit nur ca. 6 Prozent ihrer IT-Ausgaben auf die Sicherheit von Systemen bzw. Netzwerken. Mehrwerte klar vermitteln Mehrwerte der IT-Sicherheit liegen auf der Hand… Sie verringern die Wahrscheinlichkeit für kostspielige Angriffe und sichern damit Wertschöpfung. Darunter sichern Sie auch Arbeitsplätze. Wichtig hierbei ist es Risiken zu quantifizieren, Risiken greifbar machen und Risiken zu minimieren. In der Führungsebene müssen die Mehrwerte klar vermittelt werden um das Unternehmen besser vor Angriffen schützen zu können. Rechnen Sie den CEOs vor wie hoch der hypothetische Schaden wäre durch eine erfolgreiche Cyber-Attacke. Diese kann schnell mal in die Millionenhöhe gehen. Rund neun von zehn erfolgreichen Angriffen starten über den Faktor „Mensch“ durch Phishing-E-Mails oder Social Engineering. 75 Prozent aller Unternehmen wurden in den vergangenen zwei Jahren angegriffen. Vermutlich liegt die tatsächliche Zahl wesentlich höher. Man sieht also, es ist nur eine Frage der Zeit bis einen erwischt. Von daher schafft jedes Unternehmen mehr Sicherheit für sich und seine Mitarbeiter wenn es IT-Security erst und wichtig nimmt. Eine Strategie entwickelt und notwendige Sicherheitsvorkehrungen trifft. Das Auto wird auch nicht unabgeschlossen vor die Haustür gestellt. Gerne unterstützen wir Sie bei der Implementierung einer IT-Sicherheits-Strategie mit passenden Produkten für alle Unternehmensgrößen. Sprechen Sie uns an!
NEUIGKEITEN
Kaspersky erneut Champion
Kaspersky erneut Champion – Kaspersky wurde zum zweiten Mal in Folge „Champion“ in der Global Leadership Matrix von Canalys ausgezeichnet. Wir gratulieren an dieser Stelle und freuen uns ebenso über die erneute Auszeichnung zum Champion. Die Auszeichnung des renommierten globalen Technologiemarkt-Analystenhaus Canalys konnte Kaspersky mit einem Plus von 12,7 Prozent in der Partnerbewertung erreichen. Die Canalys Cybersecurity Leadership Matrix bewertet die Anbieterleistung im Channel basierend auf dem Feedback eines Anbieter-Benchmark in den vergangenen 12 Monaten. Dafür werden führende Technologieanbieter auf der ganzen Welt beobachtet und die Erfahrungen von Vertriebspartnern bei der Zusammenarbeit mit verschiedenen Anbietern gesammelt. Die Matrix berücksichtigt unabhängige Analysen von Anbietern, einschließlich der Bewertung von Vision und Strategie, Portfolio-Wettbewerbsfähigkeit, Kundenabdeckung, Channel-Geschäft, M&A-Aktivitäten, Produkteinführungen sowie neuen und angekündigten Channel-Initiativen Kaspersky erneut Champion Die prestigeträchtige Auszeichnung erreichte das Cybersicherheitsunternehmen zeitgleich in der Phase weiterer und neuer Verbesserungen des Channel-Partner-Erlebnisses. Zu den darin enthaltenen Initiativen von Kaspersky gehören unter anderem eine Aktualisierung der Spezialisierungen des Unternehmens und die Einführung eines neuen Programms, das sich auf Unternehmenslösungen konzentriert, die Vereinfachung des Prozesses zur Registrierung von Business-Deals und die Einführung von Soft-Skills-Kursen zur Unterstützung des Remote-Sellings. In den vergangenen 12 Monaten hat Kaspersky außerdem mehrere gemeinsame Marketingkampagnen durchgeführt und die Marktentwicklungsfonds (Market Development Funds MDF) flexibler gestaltet, was zu einem starken Wachstum der Co-Marketing-Aktivitäten geführt hat. „Wir fühlen uns geehrt, ein weiteres Mal das Champion-Ranking in der Leadership Matrix von Canalys erhalten zu haben und eine Steigerung der Gesamtbewertung unserer Partner gegenüber dem Ergebnis des vergangenen Jahres zu sehen“ freut sich Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky Kaspersky wurde bereits mehrfach von Canalys bewertet. Das Analystenhaus hat Kaspersky im Februar 2021 zum zweiten Mal im Canalys Worldwide Vendor Benchmark für die Qualität seines Partner-Programms als Nummer eins eingestuft [3]. Der führende Benchmark für Channel-Zufriedenheit ist ein objektiver Vergleich von Channel-Programmen. Er misst die Leistung von Anbietern in einer Reihe von Schlüsselkategorien und gibt dem Channel damit Sicherheit bei der Auswahl von Anbietern in unterschiedlichen Bereichen, darunter Cybersicherheit. Herzlichen Glückwunsch! Quelle: Kaspersky PresseberichtCopyright: Kaspersky Labs Weitere Informationen zu Kaspersky Produkten erhalten Sie auch hier.
Lieferketten unzureichend gesichert
Lieferketten unzureichend gesichert – Immer häufiger werden Cyber-Angriffe gegen die Lieferketten von Unternehmen vorgenommen. Der Global Supply Chain Report von Interos belegt, dass rund 145 Millionen Dollar Umsatz pro Jahr im Schnitt verloren gehen für Unternehmen in der DACH-Region. Ursache der Störungen der Lieferketten sind häufig Angriffe mit Verschlüsselungstrojanern. Lieferketten unzureichend gesichert Nicht nur der finanzielle Schaden der durch die Cyber-Attacken entsteht ist relevant, sondern auch die Reputation von Unternehmen ist betroffen. Laut dem Report von Interos soll es bereits bei 83% der betroffenen Unternehmen zu Reputationsschäden gekommen sein. Das hat zur Folge, dass Kunden ihr Vertrauen in das Unternehmen verloren haben. Die Probleme von Unternehmen im Bereich der physischen und digitalen Lieferketten auf Grund von Attacken stellen für alle Unternehmen ein großes Problem dar. Kommen weitere Faktoren hinzu die sich auf die Lieferketten auswirken wie beispielsweise die Corona-Pandemie, können weitere wirtschaftliche Schäden und Nachteile für Firmen in Deutschland, Österreich und Schweiz (DACH-Region) entstehen. Generell sind alle Konzerne die weltweit agieren davon betroffen und Angriffe auf die Lieferketten bzw. Angriffe mit Verschlüsselungssoftware sind für alle ein hohes wirtschaftliches Risiko. Rund 80% der Unternehmen betroffen Rund 80% der befragten Unternehmen aus dem Report verzeichneten in den vergangenen zwei Jahren Vorfälle im Bereich Cyber-Security. Angriffe mit einer Ransomware wie REvil kommen immer häufiger vor. Laut der Studie ist vor allem eines wichtig: ein komplett transparente Lieferkette. Unternehmen müssen darüber informiert sein, wie die einzelnen Glieder der Supply Chain miteinander verknüpft sind. Nur mit diesem Informationen kann das Risiko abgeschätzt werden, was ein Ausfall von Lieferanten bedeuten kann. Doch nur ein Drittel der Unternehmen führt regelmäßig ein Assessment durch und knapp ein Viertel greift auf automatisierte Prozesse zurück. Das Fazit der Studie: Die jetzigen Maßnahmen reichen in den meisten Fällen nicht aus, um einen zufriedenstellenden Schutz der Lieferketten zu garantieren. Gerne unterstützen wir Sie mit unserer 12-jährigen Erfahrung mit IT-Security. Sprechen Sie uns an!
Was ist EDR?
Was ist EDR? Die Abkürzung EDR steht für Endpoint Detection and Response. Mittlerweile ist EDR in aller Munde und steht bei vielen Security Anbietern ganz oben auf der Agenda. Doch was genau steckt hinter der Bezeichnung Endpoint Detection and Response? Wir haben Ihnen ein paar Informationen zusammengetragen und erläutern Ihnen kurz was genau EDR ist und wie es für Sie nützlich sein kann. Was ist EDR? EDR steht für Endpoint Detection and Response. Im Prinzip werden von Endpoints Daten über das System gesammelt, zu einem weiteren Monitoring System geschickt und analysiert. Mit Hilfe von EDR können frühzeitig Veränderungen oder Anomalien an Systemen registriert werden. Durch automatische Regeln bzw. IT-Security Spezialisten werden die Daten analysiert und anschließend gibt es eine Reaktion also ein Response. Es stehen einige diverse Ansätze von verschiedensten Herstellern am Markt zur Verfügung. Das EDR ist zunächst mal nur ein Sammeln von Daten eines Systems und anschließender Auswertung. Hin und wieder kommen weitere Sicherheitsfunktionen hinzu, je nach Hersteller. In einem sogenannten SOC (Security Operations Center) laufen die Daten zusammen und können durch Analyse-Spezialisten analysiert und kategorisiert werden. Ein EDR Beispiel Nehmen wir einen ganz gewöhnlichen User, der E-Mails schreibt über Outlook, Microsoft Office Anwendungen verwendet und evtl. ein ERP oder Warenwirtschaftssystem. Die Office-Anwendungen werden ohne Makros oder sonstigen VBA-Scripte verwendet. Wird nun beispielsweise aus einer Office-Anwendung die Windows Powershell mit einem Befehl aufgerufen, könnte das eine Anomalie sein und evtl. ein Schadcode sein. Dieses Event bzw. diese Information wird an das SOC gemeldet bzw. an die EDR Instanz des jeweiligen eingesetzten Tools. Nun können automatisierte Regeln einen Abgleich mit vorhandenen Angriffsszenarien durchführen. Zusätzlich können Spezialisten sich diese Anomalie genauer ansehen und an Empfehlung an den Kunden weitergeben. Durch die Endpoint Detection und Response können also Angriffe frühzeitig erkannt werden. Es handelt sich also auch um Frühwarnsystem für Ihre IT-Infrastruktur. Handelt es bei dem oben genannten Beispiel um eine legitime Aktion auf dem Endsystem, kann das Event abgearbeitet werden. Sollte es wie ein Angriffsmuster aussehen oder haben die Spezialisten Ihre Bedenken bei dieser Aktion können weitere Schritte eingeleitet werden. So wäre es denkbar das Endsystem von den anderen Systemen zu isolieren um eventuelle Schäden auf anderen Systemen zu vermeiden. Auch ein Abtrennen vom lokalen Netzwerk ist eine Möglichkeit. Generell gibt es viele weitere Mechanismen die nun zum Tragen kommen können. Ist EDR etwas ganz neues? Nein, EDR ist keine neue Erfindung der IT-Security Industrie. Der Begriff ist schon seit einigen Jahren im Umlauf und auch die Funktionen sind schon seit einigen Jahren bekannt. Allerdings stieg das Interesse an weiterführenden Endpoint-Lösungen in den letzten zwei Jahren. Das Anti-Viren-System, welches ein fester Bestandteil in der Sicherheitsinfrastruktur von Unternehmen ist, wird nun mit einer ergänzenden Funktion erweitert. Durch Cloud-Anbindungen und Anbindungen zu einem SOC können Unternehmen Ihre IT-Strukturen noch effizienter und besser schützen. Wo ist der Haken? Der Haken bei EDR – Endpoint Detection and Response ist im Prinzip das Know-how. Daten sammeln ist noch kein effizienter Schutz gegen Cyberkriminalität. Diese Informationen auswerten, mit Angriffsszenarien vergleichen und wissen was diese Meldungen bedeuten ist das „A“ und „O“ von EDR. Unternehmen müssen also Mitarbeitern beschäftigen, welche auch die erzeugten Events lesen und richtig interpretieren können. Dafür gibt es IT-Security Analysten deren Aufgabe es ist, diese Anomalien, Auffälligkeiten etc. zu erkennen bzw. zu bewerten. Nicht jedes Unternehmen hat die Mittel sich eigens dafür Mitarbeiter einzustellen. Viele Anbieter von EDR Lösungen bieten deshalb gleich ein SOC mit an oder eine MDR (Managed Detection and Response). Hierbei profitiert der Kunden vom Know-how der Hersteller und deren Analysten. Auf diesem Weg muss das Unternehmen keine eigenen Mitarbeiter anstellen bzw. anlernen, sondern kann sich das Wissen von Herstellern als Service buchen. Was ist EDR? Sie möchten mehr zu diesem Thema erfahren?Lesen Sie hier mehr zu einer der führenden EDR Lösungen am Markt von Kaspersky Labs. Gerne stellen wir Ihnen weitere Informationen zum Thema EDR zur Verfügung. Sprechen Sie uns an.
Kategorien
Schlagwörter
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
- Unseren Newsletter können jederzeit wieder abbestellen. Ihre Daten werden nicht an Dritte weitergegeben oder anderweitig verarbeitet.
- Ihre Nachricht wird gesichert übertragen