Artikel kostenlos lesen

News und Produkte

News und Produkte
Lesezeit 9 Min.

Malware: Riskante Office-Dateien und mehr Attacken im IoT

Der aktuelle Cyber Threat Report von SonicWall verzeichnet für das erste Halbjahr 2020 weniger allgemeine Malware-Aktivitäten (–33 %). Allerdings bedeuten weniger Samples leider nicht automatisch eine entspanntere Lage, da die darüber ausgeführten Angriffe sowohl taktischer als auch gezielter erfolgt seien, sodass man ihnen eine erhöhte Erfolgschance zubilligen müsse. Außerdem gab es bei Malware im Internet of Things (IoT) einen Zuwachs von 50 %. Auch Ransomware-Attacken und Versuche, in geschützte Netze einzudringen, hat das Unternehmen öfter beobachtet (+20 % bzw. +19 %).

Immer häufiger verwenden Cyberkriminelle laut SonicWall Microsoft-Office-Dateien als Vehikel für Schadsoftware (vgl. Abb.). Die Zahl der erfassten neuen Malware in Office-Dateien stieg in der ersten Jahreshälfte 2020 demnach um 176 %, während PDFs um –8 % seltener als Medium für neue Schädlinge auftraten. Den Anstieg erklärt das Unternehmen unter anderem damit, dass aufgrund der Corona-Pandemie viele Arbeitskräfte ins Homeoffice wechseln und dort vermehrt auf die Online-Anwendungen der Office-Suite zugreifen.

Abbildung 1

Die Daten für den Bericht beruhen auf rund 1,1 Millionen Security-Sensoren in 215 Ländern/Hoheitsgebieten. Der vollständige Bericht ist als 30-seitiges PDF in englischer Sprache über www.sonicwall.com/2020-cyberthreat-report/ kostenlos erhältlich (Registrierung erforderlich). (www.sonicwall.de)

Spear-Phishing mithilfe von KI

Vectra warnt vor der Nutzung von künstlicher Intelligenz (KI) durch Cyberangreifer. So konnte man unlängst überraschende Fortschritte bei der Generierung natürlicher Sprache beobachten – allem voran habe die Non-Profit-Organisation OpenAI (http://open.ai) einen Generator für natürliche Sprache geschaffen, der in der Lage sei, kohärente Antworten in Absatzlänge auf eine beliebige Eingabeaufforderung zu erzeugen.

OpenAI hat im Juni 2020 ein Papier veröffentlicht, das die neue Version des genutzten Modells GPT-3 beschreibt (https://arxiv.org/abs/2005.14165), das erstaunliche 175 Millionen Parameter umfasst und derzeit nur über eine beschränkte Beta-API verfügbar ist. Die Beispiele dafür, wozu es in der Lage ist, seien beeindruckend und Spear-Phishing-Kampagnen ein naheliegender Anwendungsfall, kommentiert Vectra: Hochentwickelte Attacken nutzen Hintergrundrecherchen über das Ziel (Interessen, Zugehörigkeiten usw.), um Anschreiben zu konstruieren, die ein Mensch in der Regel nicht als betrügerisch identifiziert. Und die Erstellung eines glaubwürdigen Texts erfordere mithilfe von KI fast keinen Aufwand.

Forscher von ZeroFox hatten bereits auf der BlackHat 2016 eine Anwendung demonstriert, die automatisch Schlüsselwörter aus einem Social-Media-Profil extrahiert, einen vernünftigen Text generiert, der einen Benutzer dazu auffordert auf einen gefährlichen Link zu klicken, und diesen Text zu einem Zeitpunkt und an einem Ort veröffentlicht, an dem das Ziel am ehesten auf ihn reagieren wird (www.blackhat.com/docs/us-16/materials/us-16-SeymourTully-Weaponizing-Data-Science-For-Social-Engineering-Automated-E2ESpear-Phishing-On-Twitter.pdf). Die Autoren berichteten von Erfolgsquoten zwischen 30 und 60 Prozent – vergleichbar mit handgefertigten Kampagnen.

Twitter hatte man damals gewählt, weil dessen Kurznachrichten Benutzer darauf konditioniert haben, Grammatikfehler zu erwarten. Diese sind ansonsten einer der wichtigsten Anhaltspunkte, um betrügerische Nachrichten wie Phishing und Spam zu erkennen. Mit den verbesserten Spracherzeugungsmodellen von OpenAI verschwinde allerdings diese Hürde, was es viel schwieriger mache, betrügerische E-Mails, Fake-News und heikle Social-Media-Posts zu erkennen, warnt Vectra. (https://vectra.ai)

Cloud Security Alliance warnt vor Schwachstellen

Die Cloud Security Alliance (CSA) hat im Rahmen der Studie „Evolution of the CASB“ mehr als 200 IT- und Sicherheitsexperten aus einer Vielzahl von Ländern (38 % USA und Kanada, 21 % EMEA) befragt, die für Unternehmen verschiedenster Größen tätig sind. Ziel war es, Erwartungen, technische Implementierungen und Herausforderungen beim Einsatz von Cloud-Access-Security-Brokers (CASB) zu untersuchen. Die im Auftrag von Proofpoint durchgeführte Untersuchung kommt dabei zu dem Ergebnis, dass zwar fast 90 % der befragten Organisationen bereits einen CASB verwenden oder die Verwendung eines CASB prüfen. Allerdings verfügt die Hälfte (50 %) der Befragten nicht über ausreichend viel oder genügend ausgebildetes Personal, um Cloud-Sicherheitslösungen umfänglich zu nutzen.

Abbildung 2

Außerdem gaben fast 30 % der Befragten an, mehrere CASB einsetzen zu müssen, um ihren Sicherheitsbedürfnissen Rechnung zu tragen – 18 % waren sich unsicher, ob oder wie viele CASB-Lösungen in ihren Organisationen im Einsatz sind. Etwas mehr als ein Drittel (34 %) empfindet die Komplexität der Lösungen als Hemmschuh, wenn es darum geht, das volle Potenzial von
CASB-Lösungen auszuschöpfen. Insgesamt schneiden CASB bei der Sichtbarkeit und der Erkennung von Verhaltensanomalien in der Cloud zwar gut ab, zeigen aber noch Schwächen beim praktischen Einsatz zur Bedrohungsabwehr/- Prävention.

Immerhin nutzen bereits 55 % der Befragten ihren CASB zur Erkennung von Anomalien im Benutzerverhalten, während 53 % darauf zurückgreifen, um einen Überblick über unberechtigte Zugriffe zu erhalten. 38 % der Unternehmen verwenden die eingesetzte(n) Lösung(en) zur Einhaltung von Vorschriften, während lediglich 22 % sie für die interne Compliance heranziehen.

„CASB-Lösungen wurden in allen Bereichen zu wenig eingesetzt, insbesondere aber hinsichtlich der Compliance, der Datensicherheit und des Schutzes vor Bedrohungen innerhalb des Service“, kommentiert Hillary Baron, Hauptautorin und Research Analyst der Cloud Security Alliance. „Es steht außer Frage, dass Schulungen und eine Vertiefung des Wissens über den Umgang mit diesen Lösungen eine Priorität sein sollten, wenn CASB als Service oder Lösung effektiv genutzt werden sollen.“

Obwohl die Befragten CASBs durchaus als wertvoll erachten, genügt ihre Effizienz doch nicht automatisch den vorhandenen hohen Anforderungen an die Datensicherheit. Eine verstärkte Fortbildung zur Nutzung des gesamten Spektrums an CASB-Features sowie eine verbesserte Integration mit anderen Sicherheitssystemen könnte hier helfen, konstatiert die Studie. Die Top-Wünsche der Befragten zur Verbesserung ihres Data-Leakage/Loss-Prevention-Programms waren demnach bei 23 % Network, Location sowie Risk-based Controls (Threat Intel, Users Targeted by Cyberattacks) bei 19 % und Verhaltensüberwachung der User bei 13 %. Es folgten eine Integration in IT-Service-Management (ITSM) und SIEM (11 %) sowie eine risikobewusste Incident-Response (10 %).

Abbildung 3

Der vollständige „Survey Report: Evolution of the CASB“ steht über https://cloudsecurityalliance.org/artifacts/evolution-of-casb-survey-report als 30-seitiges PDF in englischer Sprache zum Download zur Verfügung (Registrierung erforderlich). (www.proofpoint.com/de)

Leichtsinniger Umgang mit Druckern

Drucker arbeiten eher im Hintergrund und sind doch ein essenzieller Bestandteil der modernen Arbeitswelt: Vernetzte, hocheffiziente Systeme straffen nicht nur verwaltungsintensive Prozesse, sondern schaffen die entscheidende Verbindung zwischen „analoger“ und digitaler Arbeitswelt. Diese Schlüsselposition macht Drucker jedoch auch zu einem bevorzugten Angriffsziel, betont Sharp. Dabei sei den meisten Unternehmen und ihren Angestellten kaum bewusst, welche Gefahren bei unzureichendem Schutz von modernen Druckern ausgehen können: Im Rahmen einer Studie sahen 91 % der Befragten in den komplexen Systemen kein ernst zu nehmendes IT-Sicherheitsrisiko – weniger als einer von zehn Angestellten (9 %) ist sich demnach im Klaren, dass netzwerkfähige Drucker ein Einfallstor für Angreifer darstellen.

Mehr als die Hälfte der Befragten (53 %) gab an, noch nie eine Schulung oder Weiterbildung zum Thema sicheres Drucken und Scannen erhalten zu haben. 68 % der Studienteilnehmer berichteten, dass in ihrem Unternehmen kein spezielles Authentifizierungsverfahren für den Zugang zum Drucker zum Einsatz kommt – selbst Auswärtige könnten jederzeit auf das Gerät zugreifen. 25 % der Büroangestellten haben auch schon einmal vertrauliche oder persönliche Informationen im Ausgabefach des Druckers gefunden, die nicht für sie bestimmt waren – was eine Verletzung des Datenschutzes bedeuten kann.

Das Problem zieht sich laut Sharp durch alle Branchen. Auffallend weit vorne liegt dabei das Personalwesen: 90 % der Befragten aus diesem Bereich bestätigen, dass in ihrem Unternehmen jeder die Drucker frei nutzen könne. Mit einigem Abstand folgen die Kommunikationsbranche (60 %) und – trotz Wissensvorsprung beim Thema IT-Sicherheit – der IT- und Telekommunikationssektor (59 %). (www.sharp.eu)

Firmen, Finanzen & Fusionen

Claroty und Check Point schließen Partnerschaft zur Sicherung industrieller Steuerungsnetzwerke: Die technische Allianz liefert Unternehmen und Betreibern kritischer Infrastrukturen die nötige Echtzeit-Cybersicherheit und -Transparenz, um ihre Operational Technology (OT) und industriellen Steuerungsnetzwerke (ICS) wirkungsvoll vor Cyberangriffen zu schützen. (www.claroty.com / www.checkpoint.com)

eco entwickelt mit Partnern Framework für Konsortial-Blockchain: Derzeit arbeitet man bereits mit esatus, der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e. V., govdigital, dem Institut für Internet-Sicherheit if(is) der Westfälischen Hochschule, der Max-Planck Digital Library / Max-Planck-Gesellschaft zur Förderung der Wissenschaften e. V., der regio iT gesellschaft für informationstechnologie mbh sowie TrustCerts an einem grundlegenden Rahmenwerk zur Implementierung geeigneter Steuerungsmechanismen. Das eco Blockchain Governance Framework (eBGF) soll Ende November in einer ersten Version veröffentlicht und anschließend in geeigneten Zyklen aktualisiert werden. Ziel sei ein Instrument, das sich für eine breite Palette an Vertrauensdiensten der Digitalisierung etabliert. Interessierte seien herzlich eingeladen, sich an diesem Prozess zu beteiligen. (www.eco.de)

Partnerschaft von Forescout und Arista Networks: Man wolle gemeinsam helfen, IoT-Geräte zu identifizieren und die Zuordnung zu bestimmten Segmenten sicherzustellen, um Risiken zu verringern und anormales Verhalten frühzeitig zu erkennen. Im Rahmen der Kooperation integriere sich Forescout mit Switches und drahtloser Infrastruktur von Arista und unterstützt Arista CloudVision, das netzwerkweite Workload-Orchestrierung und Workflow-Automatisierung ermögliche. Darüber hinaus wollen die Unternehmen an gemeinsamen Innovationen im Kontext einer Zero-Trust-Architektur arbeiten. (www.forescout.de / www.arista.com)

Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) und Hochschule für Technik und Wirtschaft (HTW) Berlin wollen gemeinsam die digitale Gesellschaft stärken: Mit einer engen Partnerschaft für IT-Sicherheit möchten die Berliner Forschungseinrichtungen die Sicherheit digitaler Anwendungen ins Zentrum von Wissenschaft und Gesellschaft rücken. Unter anderem würden in einem gemeinsamen Cybersicherheitslabor neueste Forschungsergebnisse in Weiterbildungsmaßnahmen für Wirtschaft und Behörden zugänglich gemacht sowie Kinder und Jugendliche für Datenschutz und IT-Sicherheit sensibilisiert. (www.fokus.fraunhofer.de / www.htw-berlin.de)

HID Global übernimmt Access-IS: Technologie und Lösungen des Anbieters von Miniatur-Lesegeräten für unternehmenskritische Umgebungen sollen künftig das Portfolio von HID Global erweitern und seine „vertikale Marktexpansion“ beschleunigen. (www.hidglobal.com / www.access-is.com)

Samsung, BSI, Bundesdruckerei und Telekom Security bringen gemeinsam den deutschen Personalausweis aufs Smartphone: Geplant sei, noch im Laufe des Jahres, sobald die mobile eID-Lösung in Deutschland verfügbar ist, eine sichere Speicherung auf ausgewählten Samsung Galaxy Smartphones zu ermöglichen. Im Rahmen der langjährigen Zusammenarbeit mit den deutschen Behörden bei der E-Government-Initiative habe Samsung gemeinsam mit den genannten Partnern bereits die technischen Grundlagen für den kommenden Roll-out gelegt und eine hardwarebasierte Sicherheitsarchitektur entwickelt. (www.samsung.de / www.bsi.bund.de / www.bundesdruckerei.de / https://security.telekom.de)

Syntax und Xiting geben strategische Partnerschaft bekannt: Im Mittelpunkt der Zusammenarbeit stehe nach Unternehmensangaben ein vereinfachtes Berechtigungs-, Identitäts- und Risikomanagement in SAP-Landschaften. So könnten Kunden von Syntax beispielsweise ab sofort mit der Xiting Authorizations Management Suite (XAMS) ihre Prozessabläufe im Betrieb und bei Projekten optimieren, um Kosten zu reduzieren und revisionssichere SAP-Berechtigungskonzepte zu erstellen. (www.syntax.com / www.xiting.de)

Partnerschaft von Tanium und Google Cloud: Im Rahmen der Kooperation werde die vereinheitlichte Endpunkt-Management- und Sicherheitsplattform von Tanium mit Google Cloud Security Analytics sowie Zero-Trust-Initiativen integriert. Eine neue gemeinsame Lösung solle Unternehmen dabei helfen, komplexe Advanced Persistent Threats (APTs) zu erkennen und zu untersuchen. (www.tanium.com / https://cloud.google.com)

Trend Micro und Snyk entwickeln gemeinsame Lösung gegen Schwachstellen durch OpenSource-Bibliotheken: Ein Ausbau der bestehenden strategischen Partnerschaft soll Lücken zwischen DevOps und IT-Security schließen. Eine neue Lösung werde Securityteams ermöglichen, Schwachstellen in integriertem quelloffenem Code automatisch und sofort zu finden – ohne den Delivery-Prozess zu unterbrechen. (www.trendmicro.com / https://snyk.io)

ucs und NCP schließen Partnerschaft für Cloud-VPN: Auf Basis eines Managed-Service-Provider-Partnervertrags wollen die beiden Unternehmen gemeinsam Advanced-Cloud-VPN-Services für Geschäftskunden „made in Germany“ anbieten. Wichtige Eckpunkte seien dabei hohe Skalierbarkeit und Bandbreiten sowie ein nutzungsabhängiges, transparentes Preismodell (Pay per Use). (www.ncp-e.com / www.ucs.cloud)

Veronym und MainDefense kooperieren für mehr Cybersicherheit im Mittelstand: Unter dem Motto „Cybersecuritytraining trifft IT-Sicherheitstechnologie“ wollen die beiden deutschen Startups in einem gemeinsamen Angebot für KMU ab sofort Sicherheitstechnik aus der Cloud mit individualisierten Online-Trainings kombinieren. (www.veronym.de / https://maindefense.de)

Diesen Beitrag teilen: