Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Spionagesoftware Pegasus

Eine israelische Spionagesoftware, die unter Experten als das leistungsfähigste Spähprogramm für Smartphones bekannt ist und ebenfalls als Cyberwaffe eingestuft wurde, macht zurzeit erneute Schlagzeilen.

Es handelt sich hierbei um die Spionagesoftware „Pegasus“ der israelischen Sicherheitsfirma NSO Group Technologies, mit welcher ein Kunde uneingeschränkten Zugang zu dem Smartphone seiner Zielperson genießt. Jegliche Chat-Nachrichten können mitgelesen werden, jede App kann geöffnet werden und das Mikrofon, wie auch die Kamera kann nach Belieben aktiviert werden.

Laut NSO Group wurde diese Spionagesoftware zum Zwecke der Fernüberwachung der Smartphones von Terroristen und Kriminellen entwickelt. Des Weiteren wurde die Software angeblich nur an ausgewählte Staaten verkauft, wobei zwingend die Zustimmung des Verteidigungsministerium vorhanden war.

Jüngste Ergebnisse der internationalen Recherchegruppe erwiesen jedoch das Gegenteil.

Auf der Liste der Zielpersonen befanden sich forensisch nachgewiesen Journalisten meinungsbildender Publikationen, hochrangige Politiker, Oppositionelle, wie auch Menschenrechtsaktivisten. 

Es kam verteilt auf 40 Ländern seit 2016 zu ca. 50’000 nachgewiesenen Zielpersonen. 

Zu den Clients der NSO Group zählen unter anderem Mexiko, Marokko, Indien und Ungarn (als einziges Land Europas) – Länder, die häufig für mangelnde Meinungs- und Medienvielfalt kritisiert werden.

Wie kommt Pegasus aufs Smartphone?

Die Spionagesoftware kommt überwiegend über eine fingierte Nachricht inkl. eines korrumpierten Links auf das Smartphone. Allerdings ist es auch möglich das Schadprogramm unbemerkt auf das ausgewählte Smartphone zu laden –  vorausgesetzt es ist eingeschaltet und mit dem Internet verbunden.

Wie überprüft man ob man ein Teil der Pegasus-Attacke ist?

Bislang haben IOS-User einen gewissen Vorsprung im Kampf gegen Pegasus, da hier bereits ein Programm entwickelt wurde, welches Pegasus und andere Schadsoftware aufspüren soll.

Es handelt sich um die kostenlose App Lookout. Ist dies der Fall soll persönlicher Kontakt zu Lookout aufgenommen werden.

Kategorien
Alle Datenschutz Senioreneinrichtungen Sicherheit Systemtechnik

IT-Sicherheit im Gesundheitssektor ab 2022 verpflichtend

Betreiber sog. kritischer Infrastruktur (KRITIS) wie größerer Kliniken die mindestens 30.000 stationäre Patienten im Jahr behandeln sind bereits seit 2017 durch das IT-SIcherheitsgesetz (§ 8 BSI-Gesetz) verpflichtet, ihre IT-Systeme nach dem “Stand der Technik” abzusichern.

Im Oktober 2020 wurden die gesetzlichen Rahmenbedingungen erneut verschärft. Nach Sozialgesetzbuch (§ 75c SGB V) sind ab 01. Januar 2022 auch kleinere Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit auf ein angemessenes Schutzniveau anzuheben. Der Gesetzgeber verpflichtet die Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. 

Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Kategorien
Alle Sicherheit Systemtechnik

Kritische Sicherheitslücke in MS Exchange-Servern

Mit den kürzlich bekannt gewordenen Sicherheitslücken für Microsoft Exchange 2010, 2013, 2016 und 2019 Server ist wieder einmal ein Worst-Case-Szenario eingetreten, welches unmittelbaren Handlungsbedarf hervorruft.

Der Ablauf eines durch diese Schwachstellen möglichen Angriffs erfolgt in folgender Reihenfolge:

1.       Zunächst wird eine als CVE-2021-26855 dokumentierte SSRF-Schwachstelle (Server-Side Request Forgery) ausgenutzt, um beliebige HTTP-Anfragen zu senden und sich als Microsoft Exchange-Server zu authentifizieren.

2.       Unter Verwendung der unter 1. erfolgten Authentifizierung auf SYSTEM-Ebene werden SOAP-Payloads gesendet, die vom Unified Messaging Service unsicher deserialisiert werden, wie in CVE-2021-26857 dokumentiert. 

3.       Zusätzlich werden CVE-2021-26858 und CVE-2021-27065 ausgenutzt, um beliebige Dateien wie z. B. Webshells hochzuladen, die eine weitere Exploitation des Systems ermöglichen. Das kompromittierte System wird dann genutzt um weitere Systeme im Netzwerk zu kompromittieren. Für das Schreiben der Dateien ist eine Authentifizierung erforderlich, die jedoch mit CVE-2021-26855 umgangen werden kann.

Im Vergleich zu bislang bekannt gewordenen Exploits werden die o.g. Exploits bereits aktiv ausgenutzt und stellen so Administratoren weltweit vor das große Problem der Beseitigung der Lücken und dem gleichzeitigen Aufspüren möglicher Verbreitungen von Backdoors und Schadsoftware im kompromittierten Netz.

Unmittelbar nach Bekanntwerden der Schwachstellen begannen bei der Arconda Systems AG die erforderlichen Prozesse zur Benachrichtigung unserer Kunden, sowie die Mitigation der Bedrohung durch schnelles Patchen und weiterer diagnositischer Scans in unserem Rechenzentrum für unsere Hosted Exchange Lösungen. Unsere umfangreichen Vorsorgen zur Identifizierung von Eindringlingen (Intrusion Detection), sowie State-of-the-Art Virenscanner ermöglichten es uns schnellstmöglich festzustellen, daß die bei uns gehosteten Kundensysteme zu keiner Zeit kompromittiert worden sind.

Für alle Exchange-System gilt:

  1. Systeme aktualisieren und die Sicherheitslücke ab sofort schließen
  2. Alle aktualisierten Systeme müssen auf einen möglicherweise bereits in der letzten Zeit erlittenen Befall kontrolliert werden

Wenden Sie sich bitte für weitere Informationen direkt an unsere Systemtechnik und verfolgen Sie bitte die Veröffentlichungen auf unserer Website.

Kategorien
Alle Sicherheit

Emotet-Botnetz zerschlagen

Am 27.01.2021 teilten das BKA sowie die Generalstaatsanwaltschaft Frankfurt am Main die erfolgreiche Übernahme der Kontrollserver des Emotet-Botnetzes mit.

Die vom BSI seit 2018 als gefährlichste Schadsoftware der Welt eingestufte Bedrohung wurde somit endgültig abgeschaltet.

Besondere Bekanntheit erlangte Emotet durch Verschlüsselungen der gesamten Infrastruktur von Krankenhäusern, Gerichten und Stadtverwaltungen, sowie unzählige Unternehmen, welche dadurch komplett lahmgelegt wurden. Durch Zahlung eines Lösegeldes konnte man seine Daten wieder freikaufen. In Deutschland alleine entstand durch Emotet ein Schaden i.H.v. mindestens 14,5 Millionen Euro.

Emotet hat seit seinem ersten Auftreten im Jahr 2014 der Öffentlichkeit deutlich gemacht, dass ein umfassender und möglichst auch redundanter Virus- und Malwareschutz in der heutigen Zeit unabdingbar ist. Die Geiselnahme von Geschäftsdaten mit der Androhung der Löschung derselbigen brachte viele Unternehmen an den Rand des Ruins. 

Obschon Emotet nun keine Bedrohung mehr darstellt, so ist zu erwarten, dass mittelfristig neue Bedrohungen erwachsen. Mit den von der Arconda Systems AG präferierten hochwertigen und stets aktuellen Produkten der Marktführer Kaspersky und Malwarebytes ist es sowohl Unternehmen, als auch Privatleuten möglich, Daten zu schützen und bestmöglich einem Schadsoftware-Befall vorzubeugen.

Kategorien
Alle Sicherheit

BSI warnt: Erneut kritische Sicherheitslücken in Microsoft Remote-Desktop-Services

Im Mai wurde bekannt, dass Microsofts Remote-Dekstop-Services (RDS) von  Sicherheitslücken betroffen sind, die zu Szenarien vergleichbar mit den schwerwiegenden Cyberangriffen „WannaCry“ und „NotPetya“ von 2017 führen können und neben zahlreichen Windows-Versionen auch die aktuelle Windows 10 Version betreffen.

Microsoft hat für die unter dem Namen „Blue Keep“ bekannt gewordenen Schwachstellen nun den Patch „DejaBlue“ bereitgestellt. Das BSI rät in seiner aktuellen Pressemitteilung allen Anwendern dringend, die von Microsoft bereitgestellten Updates und Patches einzuspielen, da die Schwachstellen Angriffsszenarien mit enormen wirtschaftlichen Schaden verursachen können. Hierbei ist zu beachten, dass es bei Nutzung der Antiviren-Software Symantec bzw. Norton unter Windows 7 und Windows Server 2008 wegen Inkompatibilitäten zu beim Update zu Systemabstürzen kommen kann. Diese Antivirenprogramme müssen daher vorübergehend deinstalliert werden, bevor die Windows-Updates eingespielt werden.

Quelle:

Bundesamt für Sicherheit in der Informationstechnik [Online] / Verf. Informationstechnik Bundesamt für Sicherheit in der. – 14. August 2019. – https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html.

Kategorien
Alle Cloud Sicherheit

Google Drive – Datenmissbrauch und -verlust nicht ausgeschlossen

Google bietet mit seinem Google Drive eine Cloud-Speicher Lösung, die im Privatkundenbereich sehr verbreitet ist und in der G Suite Business und G Suite Enterprise auch an Firmenkunden vermarktet wird. Allerdings gibt es gewichtige Argumente die gegen den Einsatz von Google Drive im Unternehmensumfeld sprechen.

Die Hauptproblematik liegt – wie auch bei anderen Cloud-Speichern amerikanischer IT-Unternehmen- im mangelhaften Datenschutz begründet. Die Server von Google sind über die ganze Welt verteilt und die genauen Standorte werden von dem Unternehmen streng geheim gehalten. Nutzer wissen nicht wo ihre Daten gespeichert werden. 

Google stützt sich mit seinem Umgang deutscher Daten auf das sogenannte Safe-Harbor-Abkommen. Dieses ist allerdings bereits im Oktober 2015 vom Europäischen Gerichtshof als ungültig erklärt worden. Seit dem 1. August 2016 kann eine Nachfolgeregelung namens EU-US Privacy Shield angewandt werden, für die das EU-Parlament wegen Datenschutzbedenken allerdings 2018 die Aussetzung beantragt hat. 

Google ist dazu imstande, die hochgeladenen Daten innerhalb des gesetzlichen Rahmens nach gutdünken zu verwenden. Zudem ist nicht bekannt, ob die Daten Serverseitig verschlüsselt sind.  

Neben der Datenschutzproblematik gibt es weitere Einschränkungen die Google Drive mit sich bringt. So ist bspw. der Kundensupport ausschließlich englischsprachig, Linux wird nicht unterstützt, der Speicherplatz wird mit Gmail geteilt und lokal gelöschte Dateien landen nicht im Papierkorb. 

Insbesondere aufgrund des mangelhaften Datenschutzes von Google Drive empfehlen den Einsatz der Cloud-Lösung Nextcloud. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.

Kategorien
Alle Sicherheit

Traditions-Juwelier Wempe Opfer eines Ransomware-Angriffes

Der Traditions-Juwelier Wempe wurde nach eigenen Angaben am 24.06.2019 Opfer eines Ransomware Angriffes auf die hauseigenen Server. Im Zuge des Angriffes wurden  Firmendaten verschlüsselt und von den Angreifern eine Nachricht sowie eine E-Mail Adresse zur Kontaktaufnahme hinterlegt. Die Erpresser forderten ein Lösegeld und boten als Gegenleistung die Herausgabe eines Passwortes zur Entschlüsselung an.

Auf seiner Webseite gibt der Juwelier an, unmittelbar nach dem Angriff die Hilfe externe Experten für IT-Forensik und IT-Sicherheit hinzugezogen zu haben und bereits ein neues Sicherheitskonzept zu implementieren. 

Laut Hamburger Abendblatt habe der Juwelier schließlich ein Lösegeld in Höhe von mehr als einer Million Euro in Bitcoin an die Erpresser gezahlt und ein Passwort zur Wiederherstellung erhalten. 

Der Fall zeigt deutlich auf, dass die Gefahr, Opfer eines Angriffes mit Verschlüsselungs-Trojanern – auch Ransomware genannt – zu werden noch immer sehr hoch ist. Besonders mittelständische Betriebe stehen im Fokus der Kriminellen.

Da die Angriffe meist aufgrund unachtsamen Umgangs mit E-Mail-Anhängen durch Mitarbeiter gelingen, haben wir ein Info-Blatt bereitgestellt, das die wichtigsten Regeln zum Schutz vor Ransomware zusammenfasst: 6 Regeln für den Schutz vor Ransomware und andere Schadsoftware

Für einen wasserdichten Schutz vor diesen neuartigen Bedrohungen bieten wir mit unserem Partner Sophos eine hochwertige Cloud-Lösung an, die mit ihrer Sandbox-Technologie in der Lage ist, auch zielgerichtete Attacken mit bisher nicht bekannter Schadsoftware abzuwehren Weitere Informationen hierzu Sie auf unserer Portfolio-Seite zu Sophos Sandstorm.

Kategorien
Alle Sicherheit

Die neue Generation von Verschlüsselungstrojanern

Anfang dieses Monats wurde die IT eines Verwaltungsbezirks des amerikanischen Bundesstaates Georgia durch den Verschlüsselungstrojaner „Ryuk“ komplett lahmgelegt und um 400.000 Dollar erpresst. 

Der Fall zeigt, dass auch ein Jahr nach Auftreten der populären Ransomware „Wannacry“ die Gefahr durch Verschlüsselungstrojaner noch immer aktuell ist. Die Verschlüsselungstrojaner der neuesten Generation heißen Emotet, Cr1ptTor, Hidden Tear oder auch Grandcrab.

Gefährdet sind in erster Linie Windows-Systeme, welche mittels gefälschter Bewerbungsschreiben oder Rechnungen über Dateianhänge infiltriert werden. Manche Ransomware, wie Cr1ptTor, hat es aber auch gezielt auf Netzwerkspeicher von D-Link abgesehen und infiltriert Linux-Systeme. 

Aufgrund des Auftauchens immer neuer Schadsoftware bieten klassische Anti-Viren-Programme, welche Schadsoftware anhand bekannter Signaturen identifizieren, keinen ausreichenden Schutz. 

Wir haben daher für Sie und Ihre Mitarbeiter die wichtigsten Grundregeln im Umgang mit solchen Bedrohungen in einem Merkblatt zusammengefasst: 6 Regeln zur Abwehr von Ransomware & anderer Schadsoftware

Für einen „wasserdichten“ Schutz vor diesen neuartigen Bedrohungen bieten wir mit unserem Partner Sophos eine hochwertige Cloud-Lösung an, die mit ihrer Sandbox-Technologie in der Lage ist, auch zielgerichtete Attacken mit bisher nicht bekannter Schadsoftware abzuwehren. Weitere Informationen hierzu Sie auf unserer Portfolio-Seite: Sophos-Sandstorm

Kategorien
Alle Sicherheit Systemtechnik

Routinekontrollen – Ausfallzeiten vermeiden

Im laufenden Geschäftsbetrieb können sich Fehler in der IT einschleichen, die dem Anwender vorerst verborgen bleiben, sich später aber um so schwerwiegender auswirken. Läuft ein Backup-Dienst bspw. seit Monaten ins Leere, wird dies meist erst dann bemerkt, wenn Daten wiederhergestellt werden sollen. 

Oft sind Probleme mit Hintergrunddiensten, nicht aktuell gehaltene Virenscanner oder Fehler in Festplatten und Raids für Systemausfälle verantwortlich. Ausgangspunkt sind immer unzureichend gemanagte Systeme, bei denen Ausfälle erst dann angegangen werden können, wenn sie bereits eingetreten sind.

Mit einem proaktiven Ansatz, bei dem mittels Routinekontrollen der Zustand aller relevanten Systemkomponenten von einem Fachmann periodisch überprüft und dokumentiert wird, steigern Sie die Verfügbarkeit Ihrer IT-Systeme signifikant. Verbunden mit einer statistischen Fehlerauswertung und Dokumentation kann so nicht nur die Systemverfügbarkeit sichergestellt werden, sondern es lässt sich auch präzise ableiten, welche Bereiche der IT bei künftigen Investitionsentscheidungen besonderer Berücksichtigung bedürfen. 

Routinekontrollen sind ein eigenständiger Bestandteil unseres Dienstleistungsangebots und helfen unseren Kunden und ihren betreuenden IT-Dienstleistern eine nahezu hundertprozentige Systemverfügbarkeit zu erreichen. Unsere Kunden profitieren dabei von mehr als 20 Jahren Erfahrung, die wir als Softwareentwickler im Prozessmanagement gewonnen haben. 

Mehr zu Routinekontrollen.