Autor, Coach, Consultant, CISO

Schlagwort: Cybercrime

Globaler IT-Ausfall – Lessons Learned

„Rien ne va plus“ („Nichts geht mehr“) – Ein Update kann alle Rechner lahmlegen. Was lernen wir als Unternehmen daraus?

Am 19.07.2024 legte ein fehlerhaftes Update der Firma CrowdStrike über 8,5 Millionen Windows Rechner lahm. Die Reaktivierung der Rechner brauchte Zeit, da ein händisches Eingreifen nötig war. Auch wenn das eigene Unternehmen nicht betroffen war lohnt es sich zu prüfen, ob etwas ähnliches die eigene Infrastruktur beeinflussen könnte.

Lessons Learned – Für alle Organisationen mit zertifiziertem ISMS gilt: Nicht nur gedanklich durchspielen, sondern als Risiko im Risikoverzeichnis festhalten, um dem Auditor zeigen zu können, dass man die Bedrohungslage im Blick hat und auf dieser Basis Bewertungen der eigenen Umgebung durchführt.

Nachfolgende Schritte sollten zuerst für Windows und dann für alle anderen Betriebssysteme gedanklich durchgespielt werden. Sind die Konsequenzen tragbar, kann das Restrisiko durch die Geschäftsführung akzeptiert werden. Ansonsten sollten mitigierende Maßnahmen etabliert werden, um das Risiko auf ein tragbares Niveau zu senken.

  1. Risikobetrachtung: Alle Windows-Systeme fallen zeitgleich aus.
  2. Potenzielle Maßnahmen zur Mitigation (z.B. Updates zeitlich verteilen, Redundanzen)
  3. Restrisiko: Bewusst tragen oder weitere Maßnahmen umsetzen

Wiederholen für alle im Einsatz befindlichen Betriebssysteme

Kostenloser Phishing-Test

Die Allgeier CyRis GmbH aus Bremen stellt einen kostenlosen Test zur Erkennung von Phishing E-Mails zur Verfügung.

Auf E-Mails zum unbekannten Telefonvertrag oder von Königshäusern wird schon lange nicht mehr reingefallen. Oder doch? Sind alle E-Mails mit Schadenpotential so einfach zu erkennen? Phishing ist noch immer eine alltägliche Bedrohung der Informationssicherheit. Durch die Unterstützung von KI, wie bspw. ChatGPT, intensiviert sich das Problem noch. Umso wichtiger ist es, das Wissen der Mitarbeitenden hierzu aktuell zu halten. Allgeier CyRis bietet nun mit einem neuen, kostenlosen Online-Test die Möglichkeit, sein Wissen zum Thema Phishing zu prüfen. Zur Schaffung der Awareness, kann dieser Link auch an Kollegen frei verteilt werden.

Das Allgeier CyRis Quiz kann online, ohne die Angabe persönlicher Daten wahrgenommen werden. Ziel ist es, anhand konkreter Beispiele Phishing-Mails zu identifizieren. Die Absenderadresse, der Betreff oder auch der konkrete Inhalt lassen Rückschlüsse zu, ob es sich bei der Mail um den Versuch handelt, Daten zu entwenden.

Bei dem Online-Test handelt es sich um eine von zahlreichen Lösungen der Allgeier CyRis GmbH, mit denen Unternehmen das Wissen ihrer Mitarbeitenden vor Cyberangriffen aufbauen bzw. aktuell halten können. Über die Awareness-Plattform Layer8 finden sich unterschiedlichste Schulungen zu den Themen Phishing, sichere Passwörter als auch Verhalten im Social Web. Darüber hinaus lassen sich Phishing-Simulationen planen, durchführen und auswerten. Nach Corona bietet das Unternehmen nun auch wieder Live-Hacking-Events für unterschiedliche Zielgruppen an.

Weiterführende Informationen bietet das Unternehmen unter folgenden Kontaktdaten:
Allgeier CyRis GmbH
Hans-Bredow-Strasse 60, D-28307 Bremen
Tel.: +49 (0) 421 438 41 875, Mail: info@allgeier-cyris.de

Katzenfutterautomat filmt Privatsphäre

Videoaufnahmen einer 23 jährige Frau auf Instagram veröffentlicht.

Am 19.11.2022 erstattete eine junge Frau Strafanzeige. Ein Unbekannter hat über Ihren Katzenfutterautomat Video- und Tonaufnahmen angefertigt und diese in sozialen Netzwerken veröffentlicht.

In Anbetracht schlecht geschützter IoT-Geräte* ist es verwunderlich, dass sich derzeit die Anzahl derartiger Angriffe noch in Grenzen hält. Doch dies wird sich Experten zufolge, in den nächsten Jahren ändern.

In Privathaushalten befinden sich immer mehr Geräte mit Kamera und Mikrofon. Doch auch in Unternehmen sind sie installiert. Häufig von Haustechnikern, welche mit Aspekten der Informationssicherheit nicht vertraut sind. Manche Hersteller verbauen in ihrer Technik Mikrofone, ohne dass dies den Käufern bewusst ist. So passiert, bei einer schaltbaren Steckdose des Herstellers AVM. Dieser ermöglichte sich, zukünftig durch ein Update in den Steckdosen eine Sprachsteuerung zu aktivieren.

Bei IoT-Geräten in Privathaushalten werden meist keine Sicherheitsupdates eingespielt, aber auch in Unternehmen sieht es häufig nicht besser aus. Entweder hat man es schlicht nicht im Blick oder der Hersteller stellt erst gar keine Updates zur Verfügung.

Die EU debattiert bereits seit Jahren über Herstellervorgaben. Leider bisher ohne Konsequenzen. Es ist dringend geboten Hersteller zu verpflichten Sicherheitslücken in ihren Geräten zu identifizieren, Updates zur Verfügung zu stellen und eine Standardfunktion zur automatischen Aktualisierung ihrer Geräte zu etablieren. Die Updatestrategie muss die komplette typische Lebensdauer der Geräte abdecken. Denn wer möchte schon WLAN-fähige Waschmaschinen und Kühlschränke nach drei Jahren austauschen, weil es keine Sicherheitsupdates mehr gibt?

Fazit:

  • Privatpersonen sollten beim Kauf internetfähiger Geräte den Verkäufer nach der Updatestrategie des Herstellers fragen.
  • Unternehmen sollten darauf achten, ihre IoT in das Managementsystem der Informationssicherheit einzubinden und die Haustechniker zu sensibilisieren.
  • Grundsätzlich gilt: Risiko minimieren. Unnötige Funktionen ausschalten. Geräte so platzieren, dass im Falle einer Übernahme durch Dritte ein potenzieller Schaden möglichst gering bleibt.

*IoT – Internet of Things

45 Prozent der Unternehmen sehen durch Cyberattacken ihre geschäftliche Existenz bedroht

Eine Untersuchung des Digitalverbandes BITKOM zu den Themen Datendiebstahl, Spionage und Sabotage liefert detaillierte Insights zum Thema Cyberkriminalität – und zeigt deutlich, wie groß die Bedrohung durch Hackerangriffe im Jahr 2022 in Deutschland ist. Zwar ist der jährliche Schaden, der durch Diebstahl von IT-Ausrüstung, Daten etc. entstanden ist, mit rund 203 Mio. Euro etwas niedriger als im Vorjahr. Langfristig aber steigt die Schadenshöhe an.

Klar wird ebenso: Cyberkriminalität entwickelt sich immer mehr in Richtung Organisierte Kriminalität. Bei 51 Prozent der betroffenen Unternehmen kamen laut Studie Attacken aus diesem Umfeld. Angreifer gehen immer professioneller vor, vernetzten sich und tauschen sich miteinander aus. Eine weitere Erkenntnis: Staatliche Akteure werden immer relevanter, so sind die Angriffe aus Russland und China deutlich angestiegen. Damit nimmt auch die Gefahr von Angriffen mit gesellschaftsrelevanten Folgen zu, etwa Cyberattacken auf Unternehmen der kritischen Infrastruktur wie Energiedienstleister, Wasserwerke etc.

Was die Untersuchung ebenso zeigt, ist, dass Cyberkriminalität heute für nahezu jedes Unternehmen eine Herausforderung darstellt. Wenn 84 Prozent der Unternehmen im vergangenen Jahr Opfer einer Hackerattacke waren, lautet die Frage nicht mehr „ob“, sondern „wann“ die nächste Cyberattacke erfolgt. Besonders bedrohlich: 45 Prozent der befragten Unternehmen gaben an, dass Cyberattacken ihre geschäftliche Existenz bedrohen würden.

Hier heißt es klar und deutlich: Es ist Zeit, zu handeln! Cybersicherheit muss in jeder Digitalstrategie, in jedem Digitalisierungsprojekt einen festen Platz haben! Erfreulicherweise merken wir, wie Politik und Wirtschaft die Digitalisierung insbesondere seit Beginn der Corona-Pandemie vorantreiben, allerdings bieten sich Hackern hierdurch immer neue Angriffsflächen. Um sich gegen Hackerangriffe zu wappnen müssen Unternehmen den Schutz von IT und OT ausbauen. Hierfür von Nöten sind aufeinander abgestimmte Maßnahmen, die Daten, Kommunikationswege und Netzwerke schützen und das Sicherheitsbewusstsein von Mitarbeitenden steigern.

Log4J – Angreifern wird es leicht gemacht

Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.

Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.

Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.

Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.

Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.

Postquantenkryptographie

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

Kommentar: Kein Hackback – Eine generelle Ablehnung ist falsch

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, schreibt die Bundesregierung im Koalitionsvertrag. Doch bis zu welcher Stufe sollte es erlaubt sein?

Über Hackbacks, also über das zurückschlagen bei einem Cyberangriff, wird angeregt diskutiert. Von Gegnern, insbesondere in der Bundesregierung wird der Hackback meist pauschal abgelehnt. Der Hackback kennt jedoch verschiedene Stufen.

Ein Hackback zur Verteidigung kann eine angreifende Infrastruktur ausschalten, um einen laufenden Angriff zu beenden und Schaden zu vermeiden. Ein Verbot dieser Art von Hackbacks ist vergleichbar mit einem Antiterrorkommando, welches sich duckt und schützt, den Amokläufer jedoch nicht gefechtsunfähig setzen darf.

Ein Hackback ist jedoch keine sinnvolle Vergeltung im Nachgang eines erfolgten Angriffes. Hier ist das Eskalationspotential und somit die Gefahr eines globalen Cyberkrieges zu hoch.

Kommentar, Autor: Anselm Rohrer

Cybercrime-Polizisten machen einen guten Job

Die Kritik an der Polizei bei der Aufklärung von Fällen der Computerkriminalität bezieht auch die Polizisten mit ein – zu Unrecht.

In den letzten Wochen wird wieder vermehrt Kritik an der Fähigkeit der Polizei laut, Fälle der Computerkriminalität aufzuklären. Insbesondere die Bereiche Terrorabwehr und Kinderpornographie stehen im Fokus der öffentlichen Debatte. Diese Fähigkeit kritisch zu hinterfragen ist legitim und Nachholbedarf lässt sich erkennen.

Leider wird die Diskussion meist sehr undifferenziert geführt. Die Polizei hat auf Bundes- und Landesebene gute, engagierte Mitarbeiter, welche selbst mit Fachkräftemangel, Bürokratie und einer kaum zu bewältigenden Flut an Fällen zu kämpfen haben.

Viele Polizisten kämpfen sich täglich durch psychisch belastendes Bildmaterial. Mit der Gewissheit, dass auf Grund einer Anonymisierung vieles nicht aufgeklärt werden kann. Viele Server stehen in Ländern, welche nicht zur Kooperation mit den Ermittlungsbehörden bereit sind. Darüber hinaus ist stets der Datenschutz sicherzustellen, welcher wichtig ist, in der Praxis die Ermittlungen jedoch nicht vereinfacht. Gelingt trotz aller Widrigkeiten ein Schlag gegen einen kriminellen Ring, ist die öffentliche Diskussion nicht voller Lob, sondern stellt die Kompetenz in Frage: Das muss doch schneller gehen.

Wie muss sich ein Polizist fühlen, der sein bestes gibt und Mühe hat, die Bilder misshandelter Kinder aus dem Kopf zu bekommen, während die Gesellschaft ihm erklärt, er mache keinen guten Job.

Kritik an der Organisation und der Fähigkeiten der Ermittlungsbehörden ist legitim. Die Diskussion sollte jedoch differenzierter geführt und die Behörde an sich und der einzelne Polizist nicht über einen Kamm geschert werden.

Daher sagt der Autor an dieser Stelle: Danke an alle Polizisten, die jeden Tag ihr Bestes tun, um die Sicherheit im Land und unsere Werte zu verteidigen.

© 2025 Anselm Rohrer

Theme von Anders NorénHoch ↑