NEUE BEITRÄGE
Sicherheitslücken in AMD Prozessoren Epyc
Sicherheitslücken in AMD Prozessoren Epyc – Bei den AMD-Epyc-Serverprozessoren sind mindestens 22 Sicherheitslücken vorhanden. Einige Lücken sind bereits 2 Jahre alt. Wer einen Server mit AMD-Epyc-Prozessoren betreibt, sollte schnell BIOS-Update durchführen um die Lücken zu schließen. Sicherheitslücken in AMD Prozessoren Epyc Unter der Bulletin ID „AMD-SB-1021“ listet AMD insgesamt 22 Sicherheitslücken in Serverprozessoren der Baureihen Epyc 7001 (Naples), Epyc 7002 (Rome) und Epyc 7003 (Milan) auf. Am meisten betroffen von der Sicherheitslücken ist die eingebaute AMD Platform Security Processor (PSP). Aber auch die System Management Unit (SMU) ist betroffen. Einige Lücken wirken sich auf die Speicherverschlüsselung SVE (Secure Encrypted Virtualization aus, da die PSP die dabei verwendeten Schlüssel verwaltet. Bei vier Sicherheitslücken ist das Risiko mit „hoch“ beschrieben. Die anderen weisen den Status „Mittel“ auf. Die meisten Lücken sind allerdings nicht Remote bzw. aus der Ferne nutzbar, sondern setzen einen lokalen Zugriff auf den physischen Server voraus. Angriffe via Remote können unter diesen Umständen also kaum stattfinden. Die Angreifer müssten sich zunächst Zugang zum physischen Server verschaffen. Dennoch sind die Lücken nicht unkritisch und es sollte sich um Updates gekümmert werden. AMD stellt neue Firmware bereit AMD hat neue Versionen der Firmware-Komponente für jede Epyc-Generation an die Hersteller von Mainboards und Servern verteilt. Diese integrieren diese nun in BIOS-Updates. Folgende verfügbare BIOS-Updates stehen bereit: Dell Security Advisory DSA-2021-227 Dell PowerEdge Server Security Update for AMD Server Vulnerabilities HPE Security Bulletin HPESBHF04209 HPE ProLiant and Apollo Gen10 and Gen10 Plus Servers HPE Security Bulletin HPESBHF04195 HPE ProLiant Gen10 Plus Servers Epyc 3 Lenovo Security Advisory LEN-75180 Multi-vendor BIOS Security Vulnerabilities Supermicro „AMD Security Vulnerabilities, November 2021„ Kritik von Experten Via Twitter kritisiert der Sicherheitsforscher Volodymyr Pikhur AMD der AMD über die Lücke CVE-2020-12988 informierte. Es sei einer der schlechtesten Coordinated-Disclosure-Prozesse gewesen, an denen er beteiligt war. Lücken die von Hugo Magalhaes bereits 2019 an AMD gemeldet wurden, erhielten fast zwei Jahre später ihre Updates. Der Umgang mit Sicherheitslücken bei AMD sei nicht zufriedenstellend. Die Epyc-Schwachstellen ähneln laut Pikhur den 2015 veröffentlichten Lücken „Speed Racer“ bei Intel-Systemen. Diese Lücke nutzte das LoJax-Rootkit um sich im UEFI-BIOS einzunisten. LoJax wurde 2020 von Kaspersky auf zwei Rechnern nachgewiesen. Anbei die Liste der veröffentlichten CVE-Nummern: CVE-Nummern der mit AMD-SB-1021 veröffentlichten Sicherheitslücken: CVE-2020-12954 CVE-2020-12961 CVE-2021-26331 CVE-2021-26335 CVE-2021-26315 CVE-2020-12946 CVE-2020-12951 CVE-2021-26336 CVE-2021-26337 CVE-2021-26338 CVE-2021-26320 CVE-2020-12944 CVE-2020-12988 CVE-2021-26329 CVE-2021-26330 CVE-2021-26321 CVE-2021-26323 CVE-2021-26325 CVE-2021-26326 CVE-2021-26322 CVE-2021-26327 CVE-2021-26312 Weitere Informationen zu Kaspersky finden Sie auch hier.
Kaspersky akquiriert Brain4Net und startet mit SASE
Kaspersky akquiriert Brain4Net – Um seine Marktposition auszubauen, kauft der Hersteller Kaspersky das russische Unternehmen Brain4Net. Durch den Zukauf kann Kaspersky SASE- und XDR-Dienste in einer Cloud-nativen und multimandantenfähigen Plattform zusammenfassen. Von der Übernahme des russischen Herstellers Brain4Net, der sich auf SD-WAN (Software-Defined Wide Area Network) und NFV (Network Functions Virtualization) spezialisiert hat, erhofft sich Kaspersky so einiges: Zum einen soll das Team von Brain4Net künftig die Netzwerksicherheitsstrategie von Kaspersky betreuen und weiter ausbauen. Kaspersky akquiriert Brain4Net Zum anderen will Kaspersky die Lösungen von Brain4Net als SASE-Angebot (Secure Access Service Edge) auf der neuen Open Single Management Platform (OSMP) auf den Markt bringen. Diese ist eine Weiterentwicklung der bisherigen Security-Center-Konsole von Kaspersky. Zu den Inhalten dieser SASE-Plattform werden Cloud Access Security Broker, Cloud Secure Web Gateway, Cloud Workload Protection Platform, Cloud Security Posture Management sowie Zero Trust Network Access gehören. Des Weiteren stellt die Plattform die Schnittstelle für Security Operations bereit und vereint das aktuelle Portfolio des Herstellers mit Endpoint Protection Platforms, Endpoint Detection and Response, Managed Detection and Response und Threat Intelligence sowie Integrationen für Sicherheitskontrollen von Drittanbietern. So können beispielsweise Managed Security Service Provider (MSSPs) Services direkt auf der Plattform bereitstellen oder Lösungen von Drittanbietern integrieren. Zudem bringt die Einführung von SASE Vorteile für die XDR-Lösung (Extended Detection and Response) von Kaspersky mit sich. Denn die OSMP ist die technologische Grundlage für XDR und stellt die zentralen Dienste dafür bereit. Mithilfe von SASE als Kontrollpunkt können Unternehmen Telemetriedaten aus dem Netzwerkverkehr sammeln, Angriffe im Netzwerk und am Edge stoppen sowie die Orchestrierung und Verwaltung vereinfachen. Sowohl über das Netzwerk hinweg sowie für Endpunkte soll XDR mehr Transparenz über Bedrohungen bieten. Des Weiteren erhalten Nutzer automatisierte Reaktionsmöglichkeiten und Tools zur Netzwerksegmentierung. Weitere XDR-Funktionen sind: Umwandlung einer Vielzahl an Warnungen in eine viel kleinere Anzahl von Vorfällen, die manuell untersucht werden müssen. Bereitstellung integrierter Optionen zur Reaktion auf Vorfälle, die den notwendigen Kontext von allen Sicherheitskomponenten haben, um Warnungen schnell zu beheben. Bereitstellung einer Automatisierungsfähigkeit für sich wiederholende Aufgaben. Reduzierung von Schulungen und Erhöhung des Niveaus des Tier-1-Supports durch Bereitstellung einer gemeinsamen Management- und Workflow-Erfahrung über alle Sicherheitsaspekte hinweg. Quelle: https://www.it-business.de/Autorin: Melanie Staudacher
Kernel-Lücke in Windows
Kernel-Lücke in Windows – Mircrosoft hat am Patchday im Oktober zahlreiche Updates für .NET Core, Dynamics, Edge, Exchange Server, Office, Share Point, System Center Operations Manager, Visual Studio und verschiedene Windows-Versionen zur Verfügung gestellt. Eine Lücke davon wird von Angreifern derzeit aktiv ausgenutzt. Microsoft hat dazu drei Sicherheitslücken bekannt gegeben. Kernel-Lücke in Windows – Jetzt patchen Bei der Schwachstelle handelt es sich um eine Lücke im Kernel-Modul Win32k. Mit der Schwachstellenbeschreibung CVE-2021-40449 „hoch“ wurde die Lücke als hohe Sicherheitslücke eingestuft. Betroffen sind dabei Windows 7, 8.1, 10 und einige Server-Versionen. Laut Kaspersky sind von den Attacken primär Diplomaten, IT-Firmen und Militäreinrichtungen betroffen. Wie die Angriffe ablaufen ist noch unbekannt. Sind allerdings die Attacken erfolgreich, sollen sich Angreifer höhere Nutzerrechte verschaffen können und anschließend einen Trojaner wie den MysterSnail-Trojaner installieren können. Über diesen Weg können sich die Kriminellen Remote-Zugriff auf das System verschaffen. Drei Lücken öffentlich bekannt Die drei öffentlich bekannten Lücken betreffen Windows-Kernel, Windows DNS Server (CVE-2021-40469 „hoch„) und Windows AppContainer Firewall (CVE-2021-41338 „mittel„). Angreifer könnten somit Sicherheitsmechanismen umgehen und sich erhöhte Rechte verschaffen. Es wäre möglich Schadcode aus der Ferne auszuführen. Durch die Veröffentlichung könnten Angriffe kurz bevor stehen. Aber auch Lücken in Hyper-V und Word werden von Microsoft gar als „kritisch“ eingestuft. In allen Fällen könnte nach erfolgreichen Attacken Schadcode auf dem System landen. Im Fall von Word muss das Opfer dazu gebracht werden, eine präparierte Word-Datei zu öffnen. Dabei soll die Vorschau-Funktion bereits ausreichen. NSA unterstützt Microsoft Etwas überraschend war die Meldung, dass die NSA eine kritische Lücke im Exchange Server an Microsoft weitergeleitet habe. Normalerweise würde die NSA solche Lücken für sich selbst nutzen um Systeme zu attackieren. Das lässt natürlich Raum für Spekulationen. Mit der Lücke soll Remote Code Execution möglich sein. Microsoft betont, dass dies aber nicht über das Internet möglich sei, dennoch haben solche Informationen heftige Auswirkungen durch die Schlagzeilen der vergangenen Monate. Auch Windows 11 ist zum ersten Mal dabei. Eine Schwachstelle im Rich Text Edit gefährdet Windows 11. Wie eine Attacke hier aussehen könnte, ist bislang unklar. Als Ergebnis könnten Angreifer im Speicher auf Passwörter im Klartext zugreifen. Kein Patchmanagement vorhanden? Informieren Sie sich über die Möglichkeit eine Softwareverteilung bzw. Patchmanagement-System in Ihrem Unternehmen einzusetzen. Weitere Informationen finden Sie hier.
BEDROHUNGEN
Schadcode-Lücke in Drucker Spooler
Schadcode-Lücke in Drucker Spooler entdeckt – Eine neue Sicherheitslücke geht zur Zeit durchs Netz. Sicherheitsforscher haben eine neue Lücke im Printer-Spooler-Service von Microsoft entdeckt. Bislang gibt es dafür keinen Patch von Microsoft aber es gibt einen Workaround den Administratoren durchführen sollten. Schadcode-Lücke in Drucker Spooler Forscher von Sangfor haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der bevorstehenden Hacker-Konferenz Black Hat im August 2021. Nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossen Lücke ist, welche Microsoft am Patchday im Juni geschlossen hat. Die Schwachstelle bezog sich auch auf den Printer-Spooler. Man ging also davon aus dass es sich um die Schwachstelle CVE-2021-1675 mit der Priorität „hoch“ handelt, doch weit gefehlt. Es handelt sich um eine neue Lücke die bereits als Zero-Day-Exploit im Netz unterwegs ist. Für diese neue Schwachstelle gibt es noch keine CVE-Beschreibung und Microsoft stellt auch noch keinen Patch zur Verfügung. Vermutlich wird dieser zum Patchday im Juli vorhanden sein. Der Patchday ist allerdings erst am 13. Juli geplant und die Schwachstelle kann jetzt ausgenutzt werden. Administratoren sollten also vorab schon handeln. Ob es bereits Attacken gibt, ist derzeit nicht bekannt. Printer-Spooler Schwachstelle Das Problem befindet sich im Printer-Spooler-Service von Windows. Laut Informationen sollen alle Version von Windows 7 SP1 bis 2019 betroffen sein. Diverse Sicherheitsforscher geben an, vollständige gepatchte Systeme mit Windows 2019 Server erfolgreich attackiert zu haben. Sie konnte Schadcode mit System-Rechten ausführen. Das wäre vor allem auf einem Domain-Controller fatal. Angreifer könnten so weitere Systeme mit Schadcode bzw. Malware infizieren und sich im Netzwerk ausbreiten. Nicht ausgeschlossen wäre auch ein Diebstahl von Daten bzw. Kennungen zu den Benutzern. Einem Bericht der Carnegie Mellon University zufolge muss ein Angreifer aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Mit System-Rechten ausgestattet könnten Angreifer hier viel Schaden anrichten. Was können Sie tun? Noch hat Microsoft nicht auf die neue Lücke reagiert und keinen Patch angekündigt. Man geht davon aus dass ein Patch frühestens zum Patchday im Juli veröffentlicht wird. Dennoch kann man etwas gegen die Schwachstelle tun… Deaktivieren Sie den Print-Spooler Service und Systeme können mit der beschriebenen Attacke nicht angegriffen werden. Derzeit ist es nur möglich mit Deaktivierung des Dienstes das Problem zu beheben. Sie benötigen Unterstützung?Sprechen Sie uns an, unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.
Hacker erpressen deutsche Behörden
Hacker erpressen deutsche Behörden – Laut einer Umfrage von BR und „Zeit Online“ ist es Cyberkriminellen in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat keinen Überblick über die Fälle. Nicht alle Vorfälle werden gemeldet oder an zentrale Stelle der Bundesregierung registriert oder bearbeitet. Hacker erpressen deutsche Behörden In der kleinen Gemeinde Kammeltal im Landkreis Günzburg haben Cyberkriminelle einen Server verschlüsselt und versucht von der Gemeinde Geld zu erpressen. Der geschäftsführende Beamte Ernst Walter erzählt: Als die Hacker kamen, sah ich nur noch Buchstabensalat! Ernst Walter – geschäftsführender Beamter der Gemeinde Kammeltal Die Gemeinde erstattet Anzeige und nach 45 Minuten war die Kriminalpolizei im Rathaus anwesend. Ausrichten konnten diese allerdings an dieser Stelle nicht mehr viel. Die Daten sind nach wie vor nicht wieder vollständig vorhanden, die Gemeinde arbeitet mit einem Backup. Durch den Erpressungsversuch sind Daten verloren gegangen. Durch Ransomware-Angriffe werden jedes Jahr mehrere Millionen Euro erbeutet. Eine genaue Schadenshöhe lässt sich allerdings nicht so einfach ermitteln. Nicht alle Vorfälle werden gemeldet und in manchen Fällen werden stillschweigend die Lösegelder für die entwendeten oder verschlüsselten Daten bezahlt. Behörden und öffentliche Einrichtungen im Fokus Das Problem der Ransomware ist durchaus bekannt, auch das BKA gibt jährlich einen Status bzw. ein Bundeslagebild zu Cybercrime ab. Dennoch gibt es in Deutschland keinen genauen Überblick, wie stark öffentliche Verwaltungen von Hack-Angriffen betroffen sind. Es besteht derzeit keine generelle Meldepflicht für Ransomware-Angriffe, von daher hat die Bundesregierung keine Kenntnis über die genauen Zahlen der Fälle. Die Recherche von BR und „Zeit Online“ geben einen kleinen Einblick in die Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Diese Informationen gehen aus eine Umfrage von BR und „Zeit Online“ hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Innenministerien von Ländern wie Berlin, Hessen und Nordrhein-Westfalen machten keine konkreten Angaben. Landtage, Ministerien und Kommunen betroffen Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Auch große Städte wie Frankfurt am Main wurden bereits angegriffen. Im Prinzip sind alle öffentlichen Stellen ein potenzielles Angriffsziel. In manchen Fällen sind die Kriminellen erfolgreich bei der Erpressung von öffentlichen Einrichtungen. Es fließt also auch Steuergeld in die Taschen von Cyberkriminellen. Im Jahr 2019 soll das Staatstheater Stuttgart 15.000€ bezahlt haben nach einer Lösegeldforderungen für verschlüsselte Daten. Lokale Medien berichteten über diese Fall. Einen Überblick über erfolgreiche Erpressungen gibt es aber eben so wenig wie einen genauen Überblick über die Angriffe selbst. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Ransomware betrifft also nicht nur große Unternehmen, sondern auch sämtliche öffentliche Stellen wie auch kleine Unternehmen und Selbstständige. Wir haben in unserem Blog auch bereits mehrfach darüber berichtet. Mit einer durchdachten Sicherheitsstrategie können Sie viele Angriffe bereits im Vorfeld abwehren. Wir unterstützen Sie gerne bei der Umsetzung einer IT-Sicherheitsstrategie. Sprechen Sie uns an!
DDos-Attacke legt Onlinedienste der Volksbanken lahm
DDos-Attacke legt Onlinedienste der Volksbanken lahm – Ein Cyberangriff auf die Rechenzentren der Volks- und Raiffeisenbanken hat das Onlinebanking zeitweise blockiert und lahm gelegt. Inzwischen wurde der Angriff abgewehrt und das Onlinebanking vieler Geldhäuser funktioniert wieder. Ein Angriff auf den IT-Dienstleister Fiducia & GAD hatte in den vergangenen Tagen viele Kunden der Volks- und Raiffeisenbanken getroffen. Persönliche Daten seien aber nicht entwendet worden. Bei der DDoS-Attacke (Distributed Denial of Service Attacke) überrollten die Angreifer die Server mit einer Flut von Datenanfragen um die Systeme lahm zu legen. Nach der ersten Attacke auf das Rechenzentrum in Karlsruhe erfolgte eine zweite Attacke auf das Rechenzentrum in Münster. Bei den jeweils dort angeschlossenen Instituten waren die Bank-Webseiten oder das Onlinebanking nicht oder nur sporadisch erreichbar, wie Fiducia & GAD am Freitagmorgen mitteilte. Am Geldautomaten konnten Kunden weiterhin Geld abheben. DDos-Attacke legt Onlinedienste der Volksbanken lahm Die Angriffe erfolgten bis in die Nacht hinein. Es gab immer wieder größere Angriffe die aber erfolgreich abgewehrt wurden. Der IT-Dienstleister erklärte: „Der Krisenstab der Fiducia & GAD beobachtet die Systeme weiter engmaschig, um schnell auf etwaige erneute Attacken reagieren zu können.“ Betroffen waren demnach auch Institute, die sich auf den genossenschaftlichen IT-Dienstleister stützen, zum Beispiel einige Sparda-Banken und auch private Geldhäuser. Zunächst war unklar wie viele Kunden insgesamt betroffen waren. Die Angriffe seien aber unter Kontrolle und das Onlinebanking steht wieder überall zur Verfügung. Zu den Hintergründen des Angriffs ist nicht viel bekannt. Was die Absichten und das genaue Ziel waren ist bisher nicht geklärt. Ebenso wer hinter den Angriffen steht, bleibt noch im dunkeln. Weitere Informationen finden Sie auch hier.Mehr IT-Security News? In unserem Telegram-Channel werden Sie fündig – Jetzt anmelden
Lage bei Exchange Schwachstellen bleibt angespannt
Die Lage bei Exchange Schwachstellen bleibt angespannt – weiterhin gibt es neue Berichte über Angriffe über die vorhandenen Schwachstellen in Microsoft Exchange Server Produkten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert mittlerweile auf dem Postweg. Auch einige Bundesbehörden sollen von den Schwachstellen betroffen sein. Das BSI hat die Sicherheitswarnung zur „IT-Bedrohungslage“ auf 4/Rot aktualisiert. Die Lage bei Exchange Schwachstellen bleibt angespannt Das BSI informiert zu den Sicherheitslücken des Microsoft Exchange Servers mit regelmäßigen Updates via PDF-Dokumenten. Hier werden auch Details zu den vier Schwachstellen geliefert und Informationen für Administratoren. Im Rahmen des Engagements zur Erhöhung der IT-Sicherheit bei KMU habe das BSI daher postalisch die Geschäftsführung von über 9.000 Unternehmen kontaktiert, die nach bisherigem Kenntnisstand von den Exchange-Schwachstellen betroffen sind. Zunächst wurde auch von Kompromittierungen von einigen Bundesbehörden gesprochen. Diese Informationen sind derweil kommentarlos gelöscht worden und sind nicht mehr online. Microsoft liefert Updates, Skripte und Handlungsempfehlungen Microsoft selbst hatte die Schwachstellen schon am 2. März publik gemacht und umfassende Hilfestellungen zur Behebung angeboten. Das Microsoft Security Response Center berichtet dabei auch von laufenden Angriffen. Ursprünglich habe man gezielte Zero-Day-Attacken der Gruppe HAFNIUM beobachtet – als deren Hintermänner man vom chinesischen Staat unterstützte Hacker vermutet. Mittlerweile würden auch weitere Akteure die Schwachstellen ausnutzen, um beispielsweise Web Shells zu installieren und tief in die IT-Infrastrukturen von Organisationen einzudringen. Aktuell sind die Versionen 2013,2016 und 2019 von den Sicherheitslücken betroffen. Die Exchange Server Version 2010 beinhaltet nur die Schwachstelle CVE-2021-26857. Damit ließe sich der erste Schritt der Angriffskette nicht bewerkstelligen. Dennoch sollten auch diese Systeme möglichst schnell auf den aktuellen Stand gepatcht werden und die Sicherheitsupdates zu installieren. Ältere Version von Exchange Server wie 2003 und 2007 scheinen nicht anfällig zu sein für derartige Angriffs-Szenarien. Was bringt die Zukunft? Welche Lehren Administratoren ziehen können, deutet Mircosoft in der Hilfestellung an… Leider gibt es immer noch viele Unternehmen welche die IT-Security stiefmütterlich behandeln. Durch diesen Vorfall sollten alle wach gerüttelt werden. Regelmäßige Updates und Sicherheitspatches sind ein wichtiges Mittel im Kampf gegen Hacker und Cyberkriminelle. Darüber hinaus ist ein sinnvolles, ganzheitliches Sicherheitskonzept für jedes Unternehmen wichtiger denn je. Dabei stehen auch die Verantwortlichkeiten für diverse Systeme im Fokus eines ganzheitlichen Ansatzes. Gerne unterstützen wir Sie bei der Erstellung eines ganzheitlichen Sicherheitskonzeptes und stehen Ihnen mit mehr als 12-jähriger Erfahrung im Bereich der IT-Security zur Seite. Sprechen Sie uns an, wir unterstützen Sie gerne.
Microsoft Exchange Server-Zero-Day-Schwachstellen
Microsoft Exchange Server-Zero-Day-Schwachstellen – Bereits am 2.März haben Microsoft in ihrem Blog auf neue Microsoft Exchange Server-Zero-Day-Schwachstellen aufmerksam gemacht. Die Schwachstellen bestehen in den lokalen Exchange-Servern 2010, 2013, 2016 und 2019. Exchange Online, also Microsoft 365 ist davon nicht betroffen. Die Akteure nennt Microsoft in ihrem Blog-Beitrag Hafnium. Die Angriffe scheinen gezielt aus China zu stammen und haben evtl. eine nationalstaatliche verbundene Gruppe im Hintergrund. Microsoft Exchange Server-Zero-Day-Schwachstelle Die Angriffe beziehen sich auf die Exchange Server Welt von Microsoft. Hier wird versucht über gestohlene Passwörter oder durch Sicherheitslücken das System übernehmen zu können. Mit Hilfe von Web Shell wird versucht das System zu übernehmen und dann Daten stehlen zu können. Hierbei wird sehr professionell vorgegangen und ein hohes Maß nach so genannten „Skills“ sind erkennbar. Die Akteure sind also keine Amateure die einfach nur ein paar Daten stehlen wollen. Microsoft stellt Patch bereit Um die Auswirkungen dieser Situation zu minimieren bzw. ganz zu vermeiden, empfiehlt Microsoft dringend, sofort Maßnahmen zu ergreifen, um die Patches für alle lokalen Exchange-Deployments anzuwenden. Um diese Schwachstellen zu beheben, sollten Sie zu den neuesten Exchange Cumulative-Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Oberste Priorität haben Server, auf die über das Internet zugegriffen werden kann (z. B. Server, die Outlook im Web/OWA und ECP veröffentlichen). Sie können das Exchange Server Health Checker-Skript verwenden, das von GitHub heruntergeladen werden kann (verwenden Sie die neueste Version). Wenn Sie dieses Skript ausführen, werden Sie darüber informiert, ob Sie mit Ihren lokalen Exchange Server-Updates in Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt). Es wird außerdem empfohlen, dass Ihr Sicherheitsteam anhand der hier geteilten Kompromissindikatoren bewertet, ob die Schwachstellen ausgenutzt wurden. Weitere Informationen zum Thema finden Sie auch im Microsoft Blog. Haben Sie Fragen oder benötigen Sie Unterstützung beim Update für Ihren Exchange Server, können Sie gerne unsere technischen Experten um Rat und Unterstützung anfragen.
Was tun, bei verschlüsselten Unternehmensdaten?
Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten. Was tun, bei verschlüsselten Unternehmensdaten? 1. Ausfindig machen und isolieren Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen. 2. Analysieren und handeln Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist. 3. Wiederherstellen der verschlüsselten Unternehmensdaten Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie „NIE“ das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen. Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt. 4. Präventive Maßnahmen Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen. Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten. Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können.
SICHERHEIT
Microsoft schließt 50 Sicherheitslücken
Microsoft schließt 50 Sicherheitslücken zum kommenden Patchday im Juni. Insgesamt 50 kritische und wichtige Sicherheitslücken in Windows, Hyper-V, Microsoft Edge und RDP sollen gepatcht werden. Bereits sechs der vorhandenen Lücken sind im Visier von Cyberkriminellen und Hackern. Die Updates sollten demnach zügig durchgeführt werden. Die Lücken welche bereits von Hackern ausgenutzt werden sind sechs Sicherheitslücken in Windows. Im Bereich Remote Code-Ausführung wird hier attackiert um sich erhöhte Berechtigungen zu ergaunern. Betroffen sind hiervon nahezu alle Windows-Systeme. Microsoft schließt 50 Sicherheitslücken Microsoft hat angekündigt diese gefährlichen Sicherheitslücken zu schließen. Vor allem die Schwachstelle CVE-2021-33742 sei besonders kritisch. Dabei handelt es sich um eine kritische Sicherheitslücke, die Admins umgehend schließen sollten. Im Fokus der Angreifer steht MSHTML, EdgeHTML und Scripting. Dabei handelt es sich um Elemente des Internet Explorers und von Microsoft Edge. Die Lücke wird aktuell bereits ausgenutzt. Updates vermeiden Sicherheitsvorfälle Regelmäßige Updates zu alle verwendeten Programmen und Software sollten ein fester Bestandteil der IT-Administration in Unternehmen darstellen. Leider werden hier oft Ressourcen und Gelder gespart und die notwendige Sicherheit bleibt auf der Strecke. Die aktuellen Sicherheitslücken zeigen erneut, dass Unternehmen gut beraten sind, ihre Systeme auf den aktuellen Softwarestand zu bringen. Microsoft schließt 50 Sicherheitslücken auch nicht zum Spaß, sondern weil es wichtige und kritische Lücken sind welche von Kriminellen ausgenutzt werden könnten. Der Schaden für Unternehmen durch Hacker-Angriffe geht jedes Jahr in die Milliarden. Die meisten Lücken von den sechs kritischen beziehen sich auf höhere Berechtigungen mit denen Angreifer evtl. an andere Systeme herankommen oder Daten entwenden könnten. Angreifer können durch Phishing E-Mails oder ähnliches Dateien einschleusen und durch den Benutzer ausführen lassen. Die Lücke CVE-2021-33739 wird durch eine ausführbare Datei oder ein Skript ausgelöst. Auch durch die anderen Lücken könnten Angreifer sich erhöhte Berechtigungen verschaffen. Bei der Lücke CVE-2021-31955 ist der Windows-Kernel betroffen. Angreifer könnten auf den Windows-Kernel zugreifen und Informationen auf dem Computer auslesen. Auch diese Schwachstelle, wie auch die anderen sind öffentlich bekannt und werden bereits ausgenutzt. Wir empfehlen Ihnen den Windows Patchday Juni 2021 also nicht zu vergessen sondern im Kalender zu markieren. Patchmanagement leicht gemacht? Mit unserem iKomm Hosted Kaspersky Service inklusive Patchmanagement haben Sie nicht nur einen hervorragenden Virenschutz, sondern auch ein komplettes Patchmanagement on Board. Dabei können Sie Updates von Microsoft sowie von Dritt-Anbietern schnell und automatisiert installieren. Gerne unterstützen wir Sie bei der Findung einer Lösung um Ihre Systeme auf den aktuellen Ständen zu halten. Sprechen Sie uns an, wir freuen uns auf Ihre Anfragen.
Kaspersky Security 10 for Mobile
Kaspersky Security 10 for Mobile hat ein Update erhalten. Kaspersky hat in den vergangenen Tagen eine neue Version der mobilen Android App Kaspersky Security 10 for Mobile veröffentlicht. Die aktuelle Version lautet 10.8.3.116. Im Google-Playstore ist bereits die neue Version für Unternehmen zu finden. Kaspersky beschreibt diese Version auch unter der Bezeichnung „Service Pack 4 Maintenance Release 3“. Große Änderungen sind in der neuen Version nicht gemacht worden. Hierbei handelt es sich mehr um Bugfixes um bekannte Probleme der Anwendung zu beheben bzw. zu verbessern. Die neueste Version bringt auch ein Plugin-Update für das Kaspersky Security Center mit. Hierbei wurden wohl auch kleine Bugs behoben, beispielsweise dass in bestimmten Konstellationen keine Lizenz-Auswahl in der Richtlinie möglich war. In der neuen Version ist auch die Anbindung zum KSN (Kaspersky Security Network) vollständig implementiert. Diese neue Funktion war bereits mit dem Technical Release 22 erschienen. Kaspersky Security 10 for Mobile Wir haben Ihnen hier nochmal die letzten technischen Änderungen der Releases zusammengestellt: Technical Release 22 Kaspersky Endpoint Security unterstützt jetzt Kaspersky Private Security Network, eine Lösung, die den Zugriff auf die Reputationsdatenbanken von Kaspersky Security Network ermöglicht, ohne dass Daten außerhalb des Unternehmensnetzwerks gesendet werden müssen. Die Installation von Kaspersky Endpoint Security für Android auf Geräten mit Android-Versionen 4.2–4.4.4 wird nicht mehr unterstützt. Technical Release 20 Die Benutzer werden nicht aufgefordert, die rechtlichen Erklärungen zu akzeptieren, wenn der Administrator die Aussagen global akzeptiert hat. Die App-Leistung wurde optimiert. Technical Release 19 Der Administrator kann jetzt die Erklärung zu Kaspersky Security Network und andere Erklärungen im Namen der Endbenutzer über Kaspersky Security Center akzeptieren. Eine Reihe von Fehlern wurde behoben, die Stabilität der Programmausführung wurde verbessert. Technical Release 18 Kaspersky Security für mobile Endgeräte unterstützt jetzt Huawei Mobile Services. Kaspersky Endpoint Security für Android kann jetzt über die Huawei App Gallery installiert werden. Technical Release 17 Da Kaspersky Endpoint Security API-Level 29 und höher erreichen soll, haben wir einige Änderungen am Verhalten der App auf Geräten mit Android 10 und höher implementiert. Neue Einstellungen für die Kennwortstärke mit denen der Benutzer Kennwörter mit der erforderlichen Komplexität festlegen kann. Das Verwenden des Fingerabdrucks zum Entsperren des Bildschirms ist jetzt nur für das Android-Arbeitsprofil verfügbar. Eine Reihe von Fehlern wurde behoben, die Stabilität der Programmausführung wurde verbessert. Technical Release 16 Kaspersky Endpoint Security für Android unterstützt nun Android 11. Neue Anforderungen an die Erteilung der Zugriffsrechte für Standort und Kamera in Android 11. Weitere Informationen zu den neuen Regeln für Kamera- und Standortzugriffsberechtigungen finden Sie in diesem Abschnitt. Die Unternehmens-E-Mail-Adressen des Benutzers können jetzt über die EMM-Konsole eines Drittanbieters angegeben werden. Diese E-Mail-Adressen werden in Kaspersky Security Center angezeigt, sofern KscCorporateEmail konfiguriert wurde. Weitere Informationen zu der Mobile-Security von Kaspersky finden Sie hierSie suchen einen zuverlässigen Schutz für Ihre mobilen Geräte? Sprechen Sie uns an, wir bieten Ihnen eine Vielzahl an Möglichkeiten für Mobile Device Security und Mobile Device Management. iKomm Managed Security Provider iKomm MSP Service – Alles aus einer Hand
Reaktionsstrategien nach Hacker-Angriffen
Die Reaktionsstrategien nach Hacker-Angriffen müssen gut vorbereitet und geplant sein. Ein effektiver Schutz durch eine IT-Security-Lösungen hängt unter anderem davon ab, ob detaillierte und gründlich getestete Strategien zur Reaktion auf Sicherheitsverletzungen existieren. Dazu ist muss Vorarbeit geleistet werden. Das bedeutet, relevante Daten zu sammeln, potenzielle Bedrohungen zu identifizieren und Frühwarnsysteme einzusetzen um eine möglichst gute Sicherheitsstrategie zu erstellen. Reaktionsstrategien nach Hacker-Angriffen Ein wichtiger Schritt ist zunächst die Hauptrisiken zu identifizieren. Das Unternehmen muss verstehen lernen, welche Katastrophen entstehen können wenn zu wenig in die Sicherheitsprodukte investiert wird oder wenn diese mit schlechten oder wenigen Kenntnissen konfiguriert werden. Ein IT-Security Partner kann ihrem Unternehmen beratend zur Seite stehen und mit Ihnen gemeinsam ein ausführliches Sicherheitskonzept erstellen. Um zu identifizieren welche Bedrohungen für das Unternehmen am bedrohlichsten sind, müssen alle Interessenvertreter:innen des Unternehmens eingebunden werden. Netzwerk analysieren und vollständig abbilden Häufig ist es in Unternehmen nicht klar, welche Systeme im Netzwerk tatsächlich vorhanden sind. Für die IT-Abteilung ist das ein große Herausforderung eine Übersicht zu erstellen welche Geräte wo und wann im Netzwerk vorhanden sind. Eine Netzwerkübersicht bzw. Dokumentation wird zwar erstellt aber nur selten auch aktualisiert und weiter ausgebaut. Gerade in den schweren Corona-Zeiten ist es mit Home-Office und mobilen Benutzer:innen noch komplexer geworden. Neben der Dokumentation der Systeme ist auch sehr wichtig, welche Zugriffe die Benutzer:innen haben. Oftmals werden vorübergehend zu viele Recht vergeben und nie wieder zurückgenommen. Systeme zur Überwachung der Rechtevergabe und welche Zugriffe gewährt wurden stehen häufig nicht zur Verfügung. Zumindest nicht in einfacher und übersichtlicher Form so dass die IT-Abteilung schnell Auskünfte über die vergebenen Rechte geben könnte. Unternehmen investieren häufig nicht in die internen Sicherheitsinfrastrukturen und oft zu wenig in die externe Sicherheitsinfrastruktur. Überwachungssysteme errichten Manche Attacken bleiben lange unentdeckt. Ein Angreifer kann sich mit einer erfolgreichen Phishing oder Exploit Attacke kann oftmals mehrere Tage, Wochen oder sogar Monate unbemerkt im Netzwerk aufhalten. Darum sollte man bei der Strategieentwicklung mit der Annahme beginnen, eine Datenschutz-Verletzung habe bereits stattgefunden, sodass das Unternehmen vorab mit einem Tiefenscan des Netzwerks beginnen kann. Zu diesem Zweck errichtet die IT-Abteilung ein kontinuierliches Überwachungssystem, für das Software zum Einsatz kommt, die ungewöhnliche Benutzeraktivitäten und Datenexfiltrationen erkennt. Damit diese Art von Software effektiv arbeitet, muss ein Typus von „normalem Verhalten“ definiert werden. Das Ziel ist es, eine Attacke in Echtzeit zu erkennen, ihre Entstehung zu verhindern und den potenziellen Schaden zu minimieren. Weitere wichtige Punkte sind klare Befehlsketten zu etablieren – Verantwortlichkeit bestimmen, nicht in Panik verfallen, To-do-Listen bei Befall oder Erkennung einer Bedrohung Kommunikationsstrategien entwickeln Strategien erstellen und testen Wenn eine Hacker-Attacke festgestellt wurde, muss diese eindeutig als solche klassifiziert werden, bevor das Eingreifteam einzuschalten ist. Klar definierte Handlungslinien für verschiedene Arten von Angriffen sollen adäquate und zeitnahe Reaktionen garantieren. Identity Access Management und Privileged Access Management können Ihre Infrastruktur effizient sichern und mehr Übersicht erzeugen. Auch andere Produkte wie Premium Antispam Filter inklusive Sandboxing und Anti-Phishing Module sowie eine effiziente AV-Lösung unterstützt Sie beim Kampf gegen Cyberkriminelle. Sprechen Sie uns an. Wir beraten Sie gerne und unterstützen Sie mit mehr als 10-jähriger Erfahrung im Bereich der IT-Security.
NEUIGKEITEN
Frohe Ostern
Die iKomm GmbH wünscht Ihnen ein frohes Osterfest. Trotz der schwierigen Umstände in der momentanen Situation hoffen wir Sie genießen die Feiertage und haben eine schöne Zeit. Wir sind ab dem 06.04.21 wie gewohnt wieder für Sie erreichbar. Bleiben Sie sicher und bleiben Sie gesund. Frohe Ostern
E-Mails digital signieren?
E-Mails digital signieren? Diese Frage stellen sich mehr und mehr Unternehmen und Stand Heute ist sind es weniger als 35% der Unternehmen welche sich mit der Signierung und Verschlüsselung von E-Mails befassen. Dabei ist es so einfach… Schon lange sind die Standards zur E-Mail Signierung und Verschlüsselung wie S/MIME oder PGP bekannt. Schon lange können diese technischen Mittel eingesetzt werden. Doch warum sind dann die wenigsten E-Mails signiert oder verschlüsselt? Diese Frage ist relativ einfach zu erklären. Es funktioniert eben auch ohne. Das ist wohl das häufigste Prinzip warum E-Mails noch immer nicht besonders abgesichert werden. Es gibt dazu aber eine Vielzahl an einfachen Lösungen um die E-Mails eines Unternehmens digital zu signieren oder gar zu verschlüsseln. Sicherlich muss nicht jede E-Mail verschlüsselt werden, aber schaden würde es prinzipiell ja auch nicht. E-Mails digital signieren? Eine digitale oder elektronische Signatur stellt die Integrität von Daten und Absender einer E-Mail sicher. Somit kann man die Herkunft der digitalen Informationen authentifizieren. Ähnlich wie die Unterschrift auf einem Papierdokument. Sie versichert die Echtheit der Person bzw. des Unternehmens die als Absender angegeben ist. Somit können Betrüger nicht mehr einfach den Absendenamen fälschen und damit Phishing Attacken durchführen. Zudem stellt die Sigantur sicher, dass die Integrität der Daten sicher ist. Der Empfänger kann ausschließen, dass die Daten unterwegs verändert wurden. Sollten die Daten der E-Mail beim Transport in irgendeiner Weise verändert worden sein, bricht die Signatur und der Empfänger erhält diese Information. Die digitale Signatur ist nicht zu verwechseln mit der E-Mail Signatur welche über das E-Mail Programm erstellt werden kann. In diesem Fall ist der Teil gemeint, der unterhalb des E-Mail Textes angefügt werden kann. Meistens Absendername, Grußformeln, Kontaktinformationen usw. In Deutschland werden drei Formen der Signatur durch das Signaturgesetzt (SigG) unterschieden: allgemeine elektronische Signatur fortgeschrittene elektronische Signatur qualifizierte elektronische Signatur Die höchste Anforderung und damit den höchsten Sicherheitsstandard erfüllt die qualifizierte elektronische Signatur. Funktionsweise der digitalen Signatur Es stehen zwei Standards wie bereits erwähnt für die digitalen Signatur zur Verfügung: S/MIME und PGP (OpenPGP). Beide arbeiten nach dem gleichen Grundprinzip, es werden jedoch unterschiedliche Datenformate verwendet. Das Grundprinzip ist die asymmetrische Verschlüsselung. Dabei besitzt der Absender zwei Schlüssel: einen privaten und einen öffentlichen Schlüssel. Das Verschlüsselungssystem erzeugt automatisch eine Prüfsumme des Mailinhalts mittels einer Hashfunktion, verschlüsselt diese mit dem geheimen Schlüssel und hängt sie an die E-Mail an. Der öffentliche Schlüssel wird entweder mitgeschickt oder über ein öffentliches Verzeichnis bezogen. Das System des Empfängers entschlüsselt nun die Prüfsumme, errechnet sie erneut und prüft die Ergebnisse. Stimmen die Ergebnisse überein kann sichergestellt werden, dass die E-Mail mit dem geheimen Schlüssel signiert wurde, der zum öffentlichen Schlüssel passt. Die Authentifizierung ist erfolgt und die E-Mail ist demnach nicht manipuliert worden. Einfache Lösungen für Unternehmen Für viele Unternehmen ist die gesamte Thematik häufig zu komplex in der Abbildung der Verwaltung. Es ist möglich mit beispielsweise Microsoft Outlook direkt eine digitale Signatur zu verwalten und zu verwenden. Das ist aber besonders mühsam wenn es sich um viele Benutzer im Unternehmen handelt da man es hier nicht zentral lösen kann. Dafür gibt es aber sogenannte E-Mail Gateways. Mit einer solchen Lösung wie von „SEPPmail“ können Sie schnell und einfach sämtliche E-Mails Ihres Unternehmens signieren. Um die Sicherheit noch weiter zu erhöhen können Sie natürlich auch gleich die E-Mails komplett verschlüsseln. E-Mail Verschlüsselung als Managed Service Viele unserer Kunden nutzen bereits unseren Managed E-Mail Verschlüsselungsservice. Sie benötigen keine eigene Hardware, können sofort starten und Ihre E-Mails signieren und/oder verschlüsseln lassen. Sprechen Sie uns an um nähere Informationen zu unserem Service zu erhalten.
Was tun, bei verschlüsselten Unternehmensdaten?
Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten. Was tun, bei verschlüsselten Unternehmensdaten? 1. Ausfindig machen und isolieren Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen. 2. Analysieren und handeln Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist. 3. Wiederherstellen der verschlüsselten Unternehmensdaten Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie „NIE“ das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen. Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt. 4. Präventive Maßnahmen Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen. Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten. Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können.
- Kaspersky Blog
- Was passiert, wenn du ein gecracktes Programm herunterlädst? | Offizieller Blog von Kaspersky
- So schützt du Android-, Windows- und Linux-Geräte vor dem Tracking über das „Wo ist?“-Netzwerk | Offizieller Blog von Kaspersky
- Trojan.Arcanum – ein neuer Trojaner, der auf Tarot-Experten, Esoteriker und Magier abzielt | Offizieller Blog von Kaspersky
Kategorien
Schlagwörter
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
- Unseren Newsletter können jederzeit wieder abbestellen. Ihre Daten werden nicht an Dritte weitergegeben oder anderweitig verarbeitet.
- Ihre Nachricht wird gesichert übertragen