Suche
Close this search box.

Schlagwort: Sicherheit

Hacker erpressen deutsche Behörden
Bedrohung

Hacker erpressen deutsche Behörden

Hacker erpressen deutsche Behörden – Laut einer Umfrage von BR und „Zeit Online“ ist es Cyberkriminellen in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat keinen Überblick über die Fälle. Nicht alle Vorfälle werden gemeldet oder an zentrale Stelle der Bundesregierung registriert oder bearbeitet. Hacker erpressen deutsche Behörden In der kleinen Gemeinde Kammeltal im Landkreis Günzburg haben Cyberkriminelle einen Server verschlüsselt und versucht von der Gemeinde Geld zu erpressen. Der geschäftsführende Beamte Ernst Walter erzählt: Als die Hacker kamen, sah ich nur noch Buchstabensalat! Ernst Walter – geschäftsführender Beamter der Gemeinde Kammeltal Die Gemeinde erstattet Anzeige und nach 45 Minuten war die Kriminalpolizei im Rathaus anwesend. Ausrichten konnten diese allerdings an dieser Stelle nicht mehr viel. Die Daten sind nach wie vor nicht wieder vollständig vorhanden, die Gemeinde arbeitet mit einem Backup. Durch den Erpressungsversuch sind Daten verloren gegangen. Durch Ransomware-Angriffe werden jedes Jahr mehrere Millionen Euro erbeutet. Eine genaue Schadenshöhe lässt sich allerdings nicht so einfach ermitteln. Nicht alle Vorfälle werden gemeldet und in manchen Fällen werden stillschweigend die Lösegelder für die entwendeten oder verschlüsselten Daten bezahlt. Behörden und öffentliche Einrichtungen im Fokus Das Problem der Ransomware ist durchaus bekannt, auch das BKA gibt jährlich einen Status bzw. ein Bundeslagebild zu Cybercrime ab. Dennoch gibt es in Deutschland keinen genauen Überblick, wie stark öffentliche Verwaltungen von Hack-Angriffen betroffen sind. Es besteht derzeit keine generelle Meldepflicht für Ransomware-Angriffe, von daher hat die Bundesregierung keine Kenntnis über die genauen Zahlen der Fälle. Die Recherche von BR und „Zeit Online“ geben einen kleinen Einblick in die Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Diese Informationen gehen aus eine Umfrage von BR und „Zeit Online“ hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Innenministerien von Ländern wie Berlin, Hessen und Nordrhein-Westfalen machten keine konkreten Angaben. Landtage, Ministerien und Kommunen betroffen Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Auch große Städte wie Frankfurt am Main wurden bereits angegriffen. Im Prinzip sind alle öffentlichen Stellen ein potenzielles Angriffsziel. In manchen Fällen sind die Kriminellen erfolgreich bei der Erpressung von öffentlichen Einrichtungen. Es fließt also auch Steuergeld in die Taschen von Cyberkriminellen. Im Jahr 2019 soll das Staatstheater Stuttgart 15.000€ bezahlt haben nach einer Lösegeldforderungen für verschlüsselte Daten. Lokale Medien berichteten über diese Fall. Einen Überblick über erfolgreiche Erpressungen gibt es aber eben so wenig wie einen genauen Überblick über die Angriffe selbst. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Ransomware betrifft also nicht nur große Unternehmen, sondern auch sämtliche öffentliche Stellen wie auch kleine Unternehmen und Selbstständige. Wir haben in unserem Blog auch bereits mehrfach darüber berichtet. Mit einer durchdachten Sicherheitsstrategie können Sie viele Angriffe bereits im Vorfeld abwehren. Wir unterstützen Sie gerne bei der Umsetzung einer IT-Sicherheitsstrategie. Sprechen Sie uns an!

Der Wert von IT-Sicherheit
Produkte

Der Wert von IT-Sicherheit

Der Wert von IT-Sicherheit ist oftmals abhängig von Budgets und zeitlichen Ressourcen. Vor allem präventive Maßnahmen wie Security-Awareness oder Mitarbeiter-Trainings haben es besonders schwer. Oft werden hier die Ressourcen für Software oder ähnliches nicht freigegeben. Dabei sind präventive Maßnahmen ein wichtiger Bestandteil einer guten IT-Security-Strategie. Doch nicht nur die vorbeugenden Maßnahmen sind ein wichtiger Teil, auch die Sicherheitstechnologien die Sie sofort und aktiv schützen sind ein zentraler Bestandteil einer durchdachten Strategie. Doch wie können Sie diese Themen in der Führungsebene des Unternehmens platzieren? Der Wert von IT-Sicherheit Cyberangriffe gehören zu den größten Betriebsrisiken. Zehntausende Unternehmen sind jedes Jahr von Hackerangriffen betroffen. Vor kurzem waren mehrere tausend Unternehmen von den Attacken auf Microsoft betroffen. Auch Abgeordnete des Bundestages sind immer wieder Ziel von Cyberangriffen. Mit dem aktuellen Stand der IT-Sicherheit in Organisationen ist es allerdings nicht überraschend, dass Kriminelle immer wieder Einfallstore finden. Im besonderen Fokus steht der Faktor „Mensch“, denn von hier aus starten ca. 90 Prozent aller Cyberattacken. Sicherheitsverantwortliche wissen längst dass ein gewisser Nachholbedarf bei vielen Unternehmen vorhanden ist. Das zeigen beispielsweise Analysen im SoSafe Human Risk Review 2021. Der Großteil möchten ihre Bestrebungen im Bereich der IT-Sicherheit zukünftig steigern. Vor allem im Bereich der Mitarbeitersensibilisierung. Dennoch hat die IT-Sicherheit generell keinen leichten Stand innerhalb der Gesamt-IT-Budgetierung. Laut dem Research-Unternehmen Gartner berichtet, verteilen Firmen weltweit nur ca. 6 Prozent ihrer IT-Ausgaben auf die Sicherheit von Systemen bzw. Netzwerken. Mehrwerte klar vermitteln Mehrwerte der IT-Sicherheit liegen auf der Hand… Sie verringern die Wahrscheinlichkeit für kostspielige Angriffe und sichern damit Wertschöpfung. Darunter sichern Sie auch Arbeitsplätze. Wichtig hierbei ist es Risiken zu quantifizieren, Risiken greifbar machen und Risiken zu minimieren. In der Führungsebene müssen die Mehrwerte klar vermittelt werden um das Unternehmen besser vor Angriffen schützen zu können. Rechnen Sie den CEOs vor wie hoch der hypothetische Schaden wäre durch eine erfolgreiche Cyber-Attacke. Diese kann schnell mal in die Millionenhöhe gehen. Rund neun von zehn erfolgreichen Angriffen starten über den Faktor „Mensch“ durch Phishing-E-Mails oder Social Engineering. 75 Prozent aller Unternehmen wurden in den vergangenen zwei Jahren angegriffen. Vermutlich liegt die tatsächliche Zahl wesentlich höher. Man sieht also, es ist nur eine Frage der Zeit bis einen erwischt. Von daher schafft jedes Unternehmen mehr Sicherheit für sich und seine Mitarbeiter wenn es IT-Security erst und wichtig nimmt. Eine Strategie entwickelt und notwendige Sicherheitsvorkehrungen trifft. Das Auto wird auch nicht unabgeschlossen vor die Haustür gestellt. Gerne unterstützen wir Sie bei der Implementierung einer IT-Sicherheits-Strategie mit passenden Produkten für alle Unternehmensgrößen. Sprechen Sie uns an!

verschlüsselten Unternehmensdaten
Bedrohung

Was tun, bei verschlüsselten Unternehmensdaten?

Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten. Was tun, bei verschlüsselten Unternehmensdaten? 1. Ausfindig machen und isolieren Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen. 2. Analysieren und handeln Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist. 3. Wiederherstellen der verschlüsselten Unternehmensdaten Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie „NIE“ das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen. Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt. 4. Präventive Maßnahmen Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen. Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten. Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können. 

Microsoft als Virenschutzlösung
Produkte

Microsoft als Virenschutzlösung?

Microsoft als Virenschutzlösung ist für die einen selbstverständlich, für die anderen ruft es ein merkwürdiges Gefühl die der Magengegend hervor. Microsofts Defender ist seit Jahren unter uns aber hat bislang nicht den Rundumschlag in der IT-Security gemacht. Das soll sich jetzt ändern. Microsoft hat verstärkt den Ausbau der hauseigenen Virenschutzlösung gefördert und generell in der Sicherheit von Windows 10 viel getan. Doch reicht der Defender wirklich als Virenschutzlösung? Wir haben uns das etwas genauer angesehen… Microsoft als Virenschutzlösung? In den letzten Tests von AV-Test oder AV Comparatives schneidet die Lösung von Microsoft deutlich besser ab als in den Jahren zuvor. Viele Angriffe werden erkannt, es gibt weit weniger False Positives und generell ist die Erkennungsrate deutlich verbessert worden. Aber reicht das wirklich aus um mit anderen Herstellern in Konkurrenz zu treten? Immer wieder hört man Statements wie „Der Windows Defender reicht völlig aus…“ oder „Microsoft kennt doch das Betriebssystem am Besten. Darum ist auch Microsoft als Virenschutzlösung der beste Schutz.“ Das sind allerdings nur hohle Phrasen die keine vernünftige Grundlage für Diskussionen mitbringen. Häufig wird von sogenannten Experten dazu geraten Mircosoft als Virenschutzlösung einzusetzen, da diese völlig ausreicht und kostengünstig ist, weil bereits im Betriebssystem enthalten. Doch schaut man genau hin und vergleicht Microsoft mit anderen Anti-Viren-Herstellern wird man schnell feststellen, dass es doch gravierende Unterschiede gibt. Welchen Schutz bietet Defender? Microsoft´s Defender hat deutlich zugelegt im Bereich der Erkennungsraten. Doch handelt es sich um komplexere Bedrohungen geht dem Defender schnell die Puste aus. Windows Defender ist noch einiger Zeit von diversen Test-Laboren als Baseline eingestuft worden. Unterhalb diese Baseline liegende Lösungen können keinen ausreichenden Schutz bieten. Darüber hinaus sind selbst im Defender Zero-Day-Schwachstellen bereits aufgetreten. Bei einem Test des Schutzes vor dateilosen Bedrohungen von AV-Test war Kaspersky der einzige Anbieter, der 100% aller Angriffe mit einer False-Postive Rate von „Null“ entdeckt hatte. Zum Vergleich kam Microsoft hier nur auf 64%. Weitere Informationen dazu finden Sie hier: https://www.av-test.org/fileadmin/pdf/reports/AV-TEST_Kaspersky_Fileless_Malware_Test_Report_2019-09_EN.pdf Lösungen wie Kaspersky oder auch ESET die bereits seit vielen Jahren am Markt sind und regelmäßig gute Ergebnisse erzielen, genießen dadurch ein höheres Vertrauen. Die Virenschutzlösung muss auch konstant über die Jahre gute Dienste leisten damit es am Ende keine bösen Überraschungen gibt. Kaspersky beispielsweise wurde im Jahr 2019 in 86 unabhängigen Tests und Bewertungen geprüft. Die Kaspersky Produkte waren hierbei 64 Mal auf Platz 1 und 70 Mal in den Top 3. Das ist eine sehr stabile und gute Leistung. Verwaltung mit Windows Defender Neben den Erkennungsraten und dem Schutz ist es aber ebenso wichtig die Umgebung pflegen zu können. Im Heimnetzwerk mit 2-3 Systemen mag das alles keine Rolle spielen. In Unternehmensnetzwerken mit über 1000 Geräten ist das aber mehr als relevant. Hier entdecken wir eine weitere Schwachstelle des Defenders. Microsoft bringt keine ordentliche Verwaltungskonsole bzw. keine eigenes Verwaltungsmanagement mit. Die Verwaltung geht über Gruppenrichtlinien der Active Directory. Einstellungen müssen von Admins gemacht werden ohne das es Vorgaben zu Einstellungen gibt. Wenn man also nicht weiß was man tut, hat man unter Umständen einfach keinen richtigen Schutz. Troubleshooting und Problembehandlungen sind fast unmöglich mit dieser Art der Verwaltung. Das Argument „Ja, dafür ist es aber kostenlos dabei!“ ist ebenfalls so nicht korrekt. Der Schutz für Unternehmen kostet auch bei Microsoft. Um die Endpoint Protection von Windows komplett verwalten zu können benötigen Sie bis zu fünf verschiedene Verwaltungsoberflächen. Damit sparen Sie weder Personalkosten noch Dienstleistungskosten. Es ist ebenfalls ein hohes Maß an Wissen notwendig um die Konfigurationen möglichst sicher und effizient zu gestalten. Fazit zu Microsoft als Virenschutzlösung Mit den Mitbewerbern ist Microsoft nicht konkurrenzfähig. Neben der Komplexität und nicht vorhandenen Transparenz der Lösung spielen auch weitere Punkte eine Rolle. So kann nach eigenen SLA Angaben von Microsoft der Defender nur 100% der bekannten Viren erkennen. Unbekannte Bedrohungen scheinen hier völlig durchs Raster zu fallen. Zudem ist die Engine nicht ausgelegt auf die Erkennung von unbekannten Bedrohungen. Weitere Sicherheitsfunktionen wie Device und Applikation Control, Webfilter oder Schutz vor Verschlüsselungen auf Netzwerkfreigaben sucht man vergeblich bei Microsoft. Aufgrund der großen Installationsbasis von Windows-Betriebssystemen und anderer beliebter Software stellt Microsoft oftmals das primäre Ziel für Cyberkriminelle dar. Obwohl Microsoft seine Sicherheit stetig verbessert, schaffen es Schwachstellen und Angriffe auf die Produkte des Unternehmens immer wieder in die Schlagzeilen. Malware-Entwickler suchen ständig nach neuen Möglichkeiten, den vorinstallierten Windows Defender und andere im Betriebssystem integrierte Schutzmaßnahmen zu umgehen, und sind hierbei regelmäßig erfolgreich. Gerne erläutern wir Ihnen weitere Details zum Thema Virenschutz mit Microsoft. Wir stellen Ihnen auch gerne unsere Produkte aus unserem Portfolio vor um Ihnen die Vorzüge und Vorteile zu erläutern. Sprechen Sie uns an.

E-Mail Archivierung DSGVO-konform
Business

E-Mail Archivierung DSGVO-konform

E-Mail Archivierung DSGVO-konform – Viele Dienste sind nicht DSGVO-konform. Unsere Partner von Hornetsecurity haben einen sehr interessanten Blog-Beitrag zum Thema E-Mail Archivierung und DSGVO-konformität veröffentlicht. Den Beitrag können Sie hier vollständig lesen. In dem Beitrag wird aufgezeigt, dass E-Mail Archivierung und Datenschutz sich durchaus miteinander verbinden lassen. Oftmals ist es ein wenig verwirrend welche Bestimmungen nun gelten bzw. wie diese umgesetzt werden müssen. Laut einer Studie der Bitkom im September 2019 erfüllen erst ein Viertel der befragten deutschen Unternehmen die EU-Datenschutzvorgaben vollständig. Hierzu wurden 500 Unternehmen befragt. Bislang blieb eine große Abmahnwelle aus, es wurden meist nur kleinere Geldstrafen erhoben. Im November 2019 änderte sich dies allerdings mit dem höchsten Bußgeld wegen eines Datenschutzverstoßes der Wohnungsgesellschaft Deutsche Wohnen. Das Unternehmen setzte unternehmensweit ein Archivsystem ein, welches keine Möglichkeit zur Löschung von nicht mehr benötigten Daten vorsah. Die verhängte Strafe betrug 14,5 Millionen Euro. E-Mail Archivierung DSGVO-konform – aber wie? Verwendete Archivierungssysteme müssen entsprechend GoBD folgende grundlegende Kriterien erfüllen, um eine revisionssichere E-Mail Archivierung zur gewährleisten: E-Mails müssen unverändert archiviert werden Keine E-Mail darf auf dem Weg oder im Archiv verloren gehen E-Mails müssen wiederauffindbar sein und das kurzfristig E-Mails dürfen nicht während der vorgesehenen Lebenszeit gelöscht werden E-Mails müssen genauso wie sie erfasst wurden, wieder angezeigt und gedruckt werden können Durch eine Dokumentation bei Veränderungen in der Organisation und Struktur des Archivs muss die Herstellung des ursprünglichen Zustands möglich sein Eine Migration auf neue Plattformen muss ohne Informationsverluste möglich sein Zudem muss die Einhaltung gesetzlicher sowie betrieblicher Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sichergestellt werden. Revisionssicher ist nicht gleich datenschutzkonform Der aufmerksame Leser wird sich spätestens an dieser Stelle des Beitrages folgende Frage stellen: Wie kann ein Archivsystem wegen nichtbeachteter Löschpflichten abgemahnt werden, wenn E-Mails vollständig und revisionssicher archiviert werden sollen? Berechtigte Frage. Hier kommt die Auflösung: Die Datenschutzgrundverordnung sieht eine Löschpflicht für alle personenbezogenen Daten vor, die nicht mehr verwendet werden. Dazu zählt auch jegliche E-Mail-Kommunikation. Eine Speicherung und auch die Verarbeitung von diesen Daten erfolgt nach der DSGVO also immer auf einen bestimmten Zweck hin. Der Zweck kann sich beispielsweise auf die Erbringung einer bestimmten Leistung beziehen, die ohne die Verarbeitung der Kundendaten nicht möglich wäre. Entfällt dieser Zweck nach einiger Zeit, müssen diese Daten gelöscht werden. Hornetsecurity’s Archiving Ein Archivsystem, welches alle Anforderungen erfüllt, noch dazu einen geringen Administrations- und Wartungsaufwand hat, ist das Hornetsecurity Archiving. Alle ein- und ausgehenden E-Mails werden vollautomatisch und sicher in der Cloud archiviert. Dadurch können die erforderliche Unveränderbarkeit und Vollständigkeit der E-Mails ohne Aufwand sichergestellt werden. Weitere Features des Archivs sind die Markierung von privaten E-Mails sowie der gänzliche Ausschluss bestimmter Nutzer von der Archivierung wie beispielsweise Mitglieder des Betriebsrates. So können persönliche Daten im Sinne der DSGVO geschützt werden. Die Archivierungsdauer für die E-Mails kann im Voraus zwischen sechs Monaten etwa für Bewerbungen und 10 Jahren konfiguriert werden. Durch die vorhandene Volltextsuche können E-Mails schnell und gezielt gefunden werden. Abschließend sei erwähnt, dass Hornetsecurity’s Archiving auch eine sichere Import- sowie Exportfunktion in einem standardisierten Format besitzt. Authorin des Originalbeitrages auf hornetsecurity.com: Julia Sempf Lesen Sie den Artikel hier: Aufgepasst bei der E-Mail-Archivierung: Viele Dienste sind nicht DSGVO-konform Wir bieten Ihnen die schnelle und unkomplizierte Einrichtung des E-Mail Archives mit Hornetsecurity – Sprechen Sie uns an! Mehr zur Hornetsecurity

Kaspersky Labs

Schlüssel-Leaks auf GitHub & wie sie verhindert werden können

Vor kurzem haben Forscher der North Carolina State University mehr als 100.000 Projekte auf GitHub, die Token, kryptographische Schlüssel und andere vertrauliche Daten enthielten, gefunden, die in offener Form gespeichert worden waren. Insgesamt konnten mehr als eine halbe Million dieser Objekte, von denen mehr als 200.000 einzigartig sind, in der Public Domain gefunden werden. Die betroffenen Token gehörten zu großen Unternehmen wie Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree und Picatic. GitHub ist eine bekannte und beliebte Ressource im Bereich der kooperativen Softwareentwicklung. Die Plattform wird verwendet, um Code in Repositories mit offenem oder eingeschränktem Zugriff zu speichern, mit Kollegen zu teilen, sie in Programmtests einzubeziehen oder gebrauchsfertige Open-Source-Entwicklungen zu verwenden. Der Onlinedienst vereinfacht und beschleunigt die Erstellung von Apps und Diensten erheblich, weshalb er vor allem bei Programmierern besonders beliebt ist. Unternehmen, die ihre Software basierend auf Open-Source-Modulen erstellen, verwenden GitHub aktiv und auch Firmen, die Wert auf Transparenz legen, greifen häufig auf die Plattform zurück. Trotzdem ist immer Vorsicht geboten, wenn Code auf GitHub hochgeladen wird – ein gut gemeinter Rat, den Entwickler nicht immer befolgen. Welche Daten wurden veröffentlicht? Die Forscher hatten bei ihrer Untersuchung festgestellt, dass GitHub Blöcke mit frei verfügbarem Code hostet, der Token und Schlüssel enthält, die zur Autorisierung und somit zur Ausführung bestimmter Aktionen im Namen von Nutzern oder Apps ausreichen. Zu diesen unwissentlich freigegebenen Informationen gehörten: Anmeldeinformationen für Administratorkonten auf wichtigen Websites; API-Schlüssel oder -Token, die die Verwendung von In-App-API-Funktionen ermöglichen – eine Reihe von Tools, die der Interaktion zwischen verschiedenen Systemkomponenten, z. B. einem Programm und einer Website dienen; Kryptographische Schlüssel von denen viele zur Authentifizierung anstelle eines Passworts verwendet werden; die Kenntnis eines einzigen Schlüssels reicht aus, um Zugriff auf eine Reihe von Ressourcen zu erhalten, einschließlich privater Netzwerke. Deshalb stellen geleakte Token und kryptographische Schlüssel eine Gefahr dar Der nicht autorisierte Zugriff auf Ihre Konten stellt eine ernsthafte Bedrohung für Ihr Unternehmen dar. Warum, erklären wir Ihnen an den folgenden Beispielen. Eine Möglichkeit, Token zu missbrauchen, die auf GitHub veröffentlicht wurden, ist der Versand von E-Mail-Nachrichten oder die Veröffentlichungen von Beiträgen, die angeblich von dem Unternehmen stammen, das diese Token zur Verfügung gestellt hat. So könnte ein Eindringling beispielsweise Zugriff auf eine Unternehmens-Website oder ein Facebook- oder Twitter-Konto erhalten und dort einen schädlichen Post- oder Phishing-Link platzieren. Da offizielle Webseiten und Konten oftmals als zuverlässige Informationsquellen angesehen werden, ist die Wahrscheinlichkeit groß, dass viele Leser davon ausgehen, dass der Beitrag oder Link vollkommen sicher ist und keine Gefahren birgt. Darüber hinaus können Cyberkriminelle Ihre Abonnenten-Liste (wenn Sie beispielsweise MailChimp verwenden) zu Phishing-Zwecken verwenden. Wie im vorherigen Szenario hoffen die Kriminellen auch in diesem Fall darauf, dass die Nutzer einer E-Mail vertrauen, die von einem legitimen Unternehmen stammt. Derartige Angriffe können den Ruf eines Unternehmens enorm schädigen und aufgrund der verlorenen Kunden und vor allem der Zeit, die für die Wiederherstellung des normalen Unternehmensbetriebs benötigt wird, großen Schaden anrichten. Zudem können Cyberkriminelle die kostenpflichtigen Features eines Dienstes – wie  Amazon AWS – auf Ihre Kosten nutzen. So erhielt der Blogger Luke Chadwick beispielsweise eine Nachricht von Amazon, in der ihm mitgeteilt wurde, dass sein Schlüssel öffentlich auf GitHub verfügbar war. Eine Suche führte ihn zu einem alten Projekt, das er aus irgendeinem Grund vergessen hatte zu schließen. Als Chadwick sich in sein Amazon-Konto einloggte, staunte er nicht schlecht, als er sah, dass noch ganze 3.493 US-Dollar zur Zahlung ausstanden. Wie sich herausstellte, hatte ein unbefugter Nutzer den öffentlich verfügbaren Schlüssel in die Hände bekommen und angefangen unter Verwendung von Lukes Konto Kryptowährung zu schürfen. Letztendlich wurden dem Blogger die Kosten von Amazon erstattet. Denken Sie jedoch daran, dass die Geschichte nicht immer so glücklich ausgeht wie in diesem Fall. So landeten die privaten Daten auf GitHub Die Analyse der Forschungsergebnisse zeigt, dass nicht nur junge und unerfahrene Programmierer vertrauliche Informationen in der Public Domain vergessen. So wurden beispielsweise Daten, die den Zugriff auf die Website einer großen Regierungseinrichtung bereitstellten, von einem Entwickler mit 10-jähriger Erfolgsgeschichte auf GitHub veröffentlicht. Token und Schlüssel aller Art werden in GitHub-Repositories aus zahlreichen Gründen veröffentlicht. Um eine App in einen bestimmten Service zu integrieren sind möglicherweise Autorisierungstools erforderlich. Bei der Veröffentlichung von Test-Code verwenden einige Programmierer gültige Schlüssel anstelle von Debug-Schlüsseln und vergessen dann, diese erneut zu entfernen. Der Securosis-Analyst und CEO Rich Mogull veröffentlichte unter anderem eine App auf GitHub, die er für einen Konferenzbericht entwickelte. Alle Daten zur Autorisierung wurden lokal gespeichert. Um jedoch einzelne Codeblöcke debuggen zu können, erstellte er eine Testdatei mit mehreren Zugriffsschlüsseln. Nach dem Debuggen hatte Mogull einfach vergessen, die Schlüssel wieder aus dieser Datei zu entfernen. Sie wurden anschließend von Kriminellen gefunden, die Amazon-Dienste im Wert von 500 US-Dollar für sich verbuchen konnten, bevor der Vorfall bemerkt wurde. Möglicherweise sind sich viele Entwickler auch einfach nicht der Gefahr bewusst, die das Hinterlassen gültiger Token in GitHub-Repositories birgt. So schützen Sie Ihre Ressourcen Machen Sie Ihre Entwickler darauf aufmerksam, dass der Upload gültiger Token und Schlüssel zum Öffnen von Repositories schädlich und gefährlich sein kann; Programmierer sollten verstehen, dass sie vor dem Platzieren von Code sicherstellen müssen, dass dieser keine geheimen Daten enthält. Alle Produktmanager sollten die Projekte Ihres Unternehmens auf GitHub überprüfen, um herauszufinden, ob sie vertrauliche Informationen enthalten. Wenn dies der Fall ist, sollten diese umgehend gelöscht werden. Wenn Daten, die Ihr Unternehmen auf GitHub speichert, Passwörter enthalten, sollten Sie die jeweiligen Kennwörter umgehend ändern. Es gibt keine Möglichkeit herauszufinden, ob der Code bereits angesehen und gespeichert wurde. Author: Sergey GolubevQuelle: Kaspersky Blog https://www.kaspersky.de/blog/token-on-github/18892/

Nach oben scrollen