NEUE BEITRÄGE
Microsoft schließt Lücken in Windows
Microsoft schließt Lücken in Windows – Beim aktuellen Patchday von Microsoft sind mehrere Sicherheitsupdates erschienen. Auch die PrintNightmare Geschicht spielt bei diesem Patchday noch eine Rolle. Über Windows Updates stellt Microsoft Sicherheitspatches zum Download bereit. Der wichtigste Patch schließt die Lücke über diese Angreifer das System attackieren können. Microsoft schließt Lücken Bisher konnten Admins gegen die MSHTL-Lücke sich nur über Workarounds absichern. (CVE2021-40444 “hoch”). Nun sind Sicherheitsupdates erschienen die man der Microsoft Warnmeldung entnehmen kann. Im Grunde sind alle Windows Systeme bzw. Versionen davon betroffen. Die Workarounds haben teilweise oder in manchen Fällen nicht verlässlich funktioniert. Daher sind die Updates von Microsoft von hoher Wichtigkeit. Für einen erfolgreichen Angriff muss ein Opfer ein präpariertes Office oder RTF-Dokument öffnen. Wir berichteten darüber. Über ActiveX-Steuerelemente gelangt dann ein Trojaner auf den Computer. Anfang September wurden die ersten Attacken auf diese Art und Weise öffentlich. Gefährliche Lücken Eine weitere Schwachstelle (CVE2021-36968 “hoch”) in Windows DNS ist schon länger bekannt. Auch hier könnten Attacken bevorstehen. Angriffe sollen lokal möglich sein. Allerdings steht in der Warnmeldung von Microsoft nicht sehr viel über den genauen Vorgang. Angriffe können scheinbar physisch erfolgen oder per SSH-Zugriff. Auch andere Schwachstellen sind nach wie vor gefährlich bzw. können Angreifer erhöhte Nutzerrechte verschaffen. Es kann anschließend Schadcode ausgeführt werden und die Systeme könnten beispielsweise mit Verschlüsselungstrojanern bestückt werden um eine Lösegeldforderung stellen zu können. Auch zu der PrinterNightmare-Lücke hat Microsoft nochmal einen Patch zur Verfügung gestellt. Drucker-Albtraum Wie bereits erwähnt hat Microsoft für die Drucker-Problematik, die bei vielen Admins für Ärger gesorgt hat, ebenfalls einen Patch veröffentlicht. Die restlichen verbleibenden Schwachstellen die mit dem Bedrohungsgrad “hoch” eingestuft wurden, sollen nachträglich noch gepatcht werden. Beispielsweise die Fehler in der Scripting Engine von Microsoft könnten ein Schlupfloch für Angreifer sein. Dafür reicht laut Microsoft schon der Besuch einer Webseite die von Angreifern kontrolliert wird. Fazit für die Admins: Jetzt heißt es wieder: Update, Update, Update!
Vorsicht vor präparierten Office-Dokumenten
Vorsicht vor präparierten Office-Dokumenten – Derzeit gehen wieder gezielte Angriffe auf Windows-Systeme los. Angreifer versuchen über präparierte Office-Dokumente sich Zugriff zum System zu verschaffen bzw. einen Trojaner-Download zu erzwingen. Standardmäßig sind die Systeme nicht gefährdet. Die Sicherheitslücke ist bei Microsoft bekannt. Vorsicht vor präparierten Office-Dokumenten Gezielte Angriffe sind zur Zeit im Umlauf. Mit präparierten Microsoft-Office-Dokumenten versuchen die Cyberkriminellen nach dem Öffnen dieser Dokumente den Rechner mit Schadcode zu infizieren. Mit den Standard-Einstellungen von Office laufen die Attacken allerdings ins leere. Sicherheits-Patches stehen allerdings derzeit noch aus. Über einen Workaround können aber Administratoren die Systeme absichern. Microsoft hat dazu eine Warnmeldung herausgegeben und stuft die Lücke als “hoch” ein. (CVE-2021-40444). Die Lücke betrifft die HTML-Rendering-Engine MSHTML von Windows. Die Engine wird von Microsoft Office verwendet wie auch vom Internet Explorer. Betroffen sind Systeme von Windows 8.1 bis Windows 10 sowie die Windows Server 2008 bis 2019. Ablauf der Angriffe Auf diese Lücke sind mehrere Sicherheitsforscher gestoßen unter anderem von Expmon. Sie berichten, dass wenn ein Opfer eine Office-Datei öffnet, der Internet Explorer eine von Angreifern kontrollierte Webseite öffnet. Über ein platziertes ActiveX-Steuerelement wird eine Trojaner auf den Computer geladen. In den Standard-Einstellungen von Office funktionieren diese Angriffe allerdings nicht. Office öffnet Dokumente aus dem Internet in einem abgesicherten Modus. Zudem gibt es noch den Schutzmechanismus Office Application Guard der Dokumente isolieren soll und so die Angriffe auf diese Art und Weise verhindern kann. Dennoch können diese Attacken zu Erfolgen führen wenn die Opfer bestimmte Einstellungen verändert haben oder verändern auf Grund von Aufforderungen in den E-Mails. Generell sollten keine Dokumente willkürlich geöffnet werden. Erhält man Dokumente die man selbst nicht angefragt hat, sollte man skeptisch sein. Noch mehr hinterfragen sollte man sich, wenn es Dokumente von unbekannten Absendern sind. Patchen Sicherheits-Updates stellt Microsoft für den kommenden Patchday in Aussicht. Bis dahin können Admins die ActiveX-Steuerelemente im Internet Explorer deaktivieren. Erzeugen Sie hierfür eine Textdatei mit folgenden Inhalt und speichern Sie die Datei mit der Endung .reg. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] “1001”=dword:00000003 “1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] “1001”=dword:00000003 “1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] “1001”=dword:00000003 “1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] “1001”=dword:00000003 “1004”=dword:00000003 Im Anschluss öffnen Sie die Datei mit einem Doppelklick und fügen die Einträge zur Windows Registry hinzu. Anschließend führen Sie einen Neustart des Systems durch. Sie können die Registry Einträge auch manuell im Registrierungseditor setzen. Die ActiveX-Steuerelemente sind dann deaktiviert und es können über die präparierten Office-Dokumente keine Trojaner heruntergeladen werden. Sichern Sie Ihre E-Mail Kommunikation bereits vorher ab, bevor die E-Mails bei Ihnen im Hause landen. Mit Hornetsecurity können Sie Dokumente vorab in der Sandbox prüfen und solche Angriffe gehören bei Ihrem Unternehmen der Vergangenheit an. Lesen Sie mehr zum Thema E-Mail Sicherheit mit Hornetsecurity.
Exchange-Server-Attacken reißen nicht ab
Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar und dennoch gibt es viele ungepachtet Exchange Server. Exchange-Server-Attacken reißen nicht ab Angreifer haben es immer noch auf die ProxyShell-Lücken im Exchange Server von Microsoft abgesehen. Nach erfolgreichen Angriffen platzieren die Angreifer Hintertüren im System um Geschäftsdaten kopieren zu können, Daten zu verschlüsseln oder weitere Ransomware-Angriffe durchzuführen. In diesem Zusammenhang wird von dem Verschlüsselungstrojaner Conti berichtet. Sicherheitsforscher von Sophos geben in einem Bericht an, man habe Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der kritischen Sicherheitslücken systematisch in Netzwerken ausbreiten konnten. Kombinierte Angriffe aus der Ferne um Authentifizierung zu umgehen und sich erhöhte Nutzerrechte zu verschaffen um Schadcode ausführen zu können. Conti-Verschlüsselungstrojaner mit an Board Die Forscher haben beobachtet, dass über die attackierten Systeme anschließend auch der Conti-Verschlüsselungstrojaner von der Leine gelassen wurde. Mindestens sieben Backdoors für spätere Zugriffe sollen platziert worden sein. Mehr als 1 Terabyte Daten wurden kopiert. Für die Angriffe wird auf die verwundbare Autodiscover-Funktion zurückgegriffen. Typische Anfragen können so aussehen: https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com In den Logdateien können Administratoren diese Form von Angriffen erkennen. Auch die iKomm GmbH registriert immer wieder diese Attacken auf diverse Systeme. Auch größere, bekannte Unternehmen sollen von den Attacken bereits betroffen worden sein. Es wird also höchste Zeit die Sicherheitsupdates einzuspielen. Jetzt patchen! Die Sicherheitsupdates sind bereits seit April verfügbar. Wir berichteten ebenfalls bereits über die ProxyShell-Lücken und haben Ihnen die Links zu Microsoft zur Verfügung gestellt. Für die Updates wird der Exchange Server in dieser kurzen Zeit keine E-Mails mehr empfangen oder versenden können. Es kommt einem Upgrade gleich. Das ist vermutlich auch ein Grund warum manche Admins die Updates noch nicht durchgeführt habe. Das Risiko ist allerdings sehr groß und schon seit Monaten werden die Lücken ausgenutzt. Administratoren müssen nun handeln… Weitere Informationen zu Microsoft-Themen finden Sie hier.
BEDROHUNGEN
Cybercrime in Zeiten der Covid-19-Pandemie
Das Bundeskriminalamt stellte vergangene Woche sein „Lagebild Cybercrime“ sowie eine Sonderauswertung zum Thema „Cybercrime in Zeiten der Covid-19-Pandemie“ vor. Die Ergebnisse sind sehr interessant. Die Zahl der Cyberangriffe ist auf einen neuen Höchststand gestiegen. Vor allem Ransomware ist hierbei die gefährlichste Waffe der Cyber-Kriminellen. Unser Partner ESET hat ebenfalls im Rahmen der Covid-19-Pandemie unterschiedliche Studien in diesen Problemfeldern erstellt. Die Ergebnisse decken sich mit den Ergebnissen des Bundeskriminalamt. Vor allem im Health Care Bereich kann man erhöhte Angriffe ausfindig machen. In diesem Bereich muss mehr in puncto Cyber-Security gemacht werden. Krankenhäuser sind das häufigste Ziel von Cyberangriffen Health Care Einrichtungen und Krankenhäuser sind häufig nicht ausreichend geschützt. Ein aktueller Fall einer Klinik in Düsseldorf zeigt die Brisanz dieses Themas auf: Angriffe auf Krankenhäuser finden immer öfter und vor allem zielgerichtet statt. Gerade Ransomware-Attacken haben sich als erfolgreich und finanziell lukrativ für Cyberkriminelle erwiesen. Neu sind diese Probleme allerdings nicht. Bereits 2016 stellte eine Studie fest, dass 67 Prozent aller Krankenhäuser bereits Hacker-Angriffe hinnehmen mussten. ESET war der erste Anbieter, der beispielsweise einen Ransomware-Schutz in seine Sicherheitslösungen integriert hatte. 2-Faktor-Authentifizierung werden selten eingesetzt Die Analysen zeigen, dass seltener Sicherheitstechnologie wie die 2-Faktor-Authentifizierung oder auch Verschlüsselung von beispielsweise Patientendaten eingesetzt wird. Selbst die Datenlöschung, die nach Datenschutzgrundverordnung zwingend vorgeschrieben ist, findet nur in jedem 3. Krankenhaus statt. Angreifer haben es oftmals sehr leicht an Daten zu kommen. Mit einer 2-Faktor-Authentifizierung könnte sich der Sicherheitsstandard in Krankenhäusern deutlich steigern. Aber die Problematik betrifft nicht nur Krankenhäuser. Es ist vielmehr ein Problem des gesamten Health Care Bereiches. Cybercrime in Zeiten der Covid-19-Pandemie Cybercrime in Zeiten der Covid-19-Pandemie – ESET hat hierzu auch zwei sehr aufschlussreiche Studien dazu erstellt. Vor allem die Abwanderung zum Home-Office während der Corona Pandemie bergen enorme Sicherheitslücken und Schwachstellen. Die ESET Studien finden Sie unter den aufgeführten Links: https://datasecurityguide.eset.com/de/studie-wirtschaft-2020-arbeitswelt-im-wandel-der-corona-pandemie https://datasecurityguide.eset.com/de/corona-effekt-68-prozent-der-beschaeftigten-wollen-nach-der-krise-nicht-dauerhaft-zurueck-ins-buero Krankenhauszukunftsgesetz, ein Schritt in die richtige Richtung? Das vom Gesundheitsministerium vorgeschlagenen Gesetz ist definitiv ein Schritt in die richtige Richtung. 3 Milliarden Euro für die benötigte Digitalisierung aus Bundesmitteln sind dafür vorgesehen. Die Berücksichtigung von IT-Security-Aspekten ist dabei kein Wunschkonzert, sondern muss als Muss-Bestandteil für Investitionen angesehen werden. Health Care Einrichtungen leiden oft doppelt: Die finanziellen Mittel sind oftmals beschränkt, IT-Sicherheits-Experten dank Fachkräftemangels kaum zu finden oder zu bezahlen. In diesem Bereich ist also reichlich Luft nach oben. Gerne stellen wir Ihnen die ESET 2-Faktor-Authentifizierung in einer Websession vor. Diese überzeugt durch ihre Einfachheit und praktische Umsetzung. Erfahren Sie mehr über den Mehrwert von ganzheitlichen IT-Sicherheitssystemen.
Emotet in verschlüsselten Anhängen
Emotet in verschlüsselten Anhängen – Ein wachsende Cyberbedrohung? Zumindest sind die Cyberkriminellen nicht untätig und erarbeiten ständig neue Szenarien um ihren Banking-Trojaner Emotet zu verteilen. Dabei werden verschiedenste Tricks angewendet um die Anti-Viren Filter zu umgehen. Email Conversation Thread Hijacking ist eine Methode wie die Betrüger ihren Schadcode verteilen. Aber auch andere Mechanismen wie Änderungen der Webshells bis hin zum Update des Emotet-Loaders werden verwendet um die Downloadzahl der Malware zu erhöhen. Jetzt wird Emotet erneut in verschlüsselten Anhängen versendet. Emotet in verschlüsselten Anhängen Unsere Partner von Hornetsecurity beobachten in ihrem Hornetsecurity Security Lab seit September einen erheblichen Zuwachs an Emotet-Malspam, welcher verschlüsselte Archiv-Dateien versendet. Das Passwort zur Entschlüsselung ist als Klartext im E-Mail Anschreiben enthalten. So kann jeder das Archiv öffnen. Durch die Verschlüsselung des Anhangs ist es für herkömmliche Anti-Viren-Programme nicht möglich das versteckte Schadprogramm zu entdecken. Die Malware wird nach öffnen und ausführen des Anhangs nachgeladen. Hornetsecurity hat darüber in Ihrem eigenen Blog-Beitrag ausführlich berichtet. Auch wir haben bereits des Öfteren über den Trojaner Emotet berichtet. Dieser erlangte traurige Berühmtheit und gilt als der gefährlichste Trojaner derzeit. Bereits im April 2019 entdeckten Security-Analysten erste Wellen des Emotet-Malspams mit verschlüsselten ZIP-Dateien. Also ist der Vorgang nicht wirklich neu. Als Operation „Zip Lock“ bezeichnet die White-Hat-Group „Cryptolaemus“ dieses Vorgehen der Akteure hinter Emotet. Täglich veröffentlicht die Gruppe sämtliche Updates von Emotet auf ihrer Website und dem Twitter-Account. Spamwellen zunächst im japanisch-sprachigen Raum Die Security-Spezialisten haben seit dem 1.September aktive Spamwellen erkennen können, die zunächst auf den japanisch-sprachigen Raum abzielten. Die Spezialisten von Hornetsecurity registrierten schließlich auch Spamwellen auf Spanisch, Englisch und Deutsch. Damit die Opfer in großer Zahl den Anhang auch öffnen und ausführen bedienen sich die Erpresser der sogenannten “Email Conversation Thread Hijacking” Technik. Bestehende E-Mail Konversationen des Opfers werden verwendet um authentischer zu wirken. Die Angreifer antworten hierbei auf bestehende Unterhaltungen die ihr Angriffsziel in der Mailbox noch gespeichert hat. Auch andere kriminelle Gruppen bedienen sich der Methode ihre schadhaften Inhalte in verschlüsselte Anhänge unterzubringen. Die Malware-Kampagnen von GandCrab verschlüsselten Office-Dokumente und die Malware Ursnif verbreitet sich ebenfalls durch verschlüsselte ZIP-Dateien. Wie kann man sich schützen? Bis heute werden die verschlüsselten Emotet-Dateien nicht von herkömmlichen Anti-Viren-Systemen erkannt. Ein Beweis dafür liefert der Dienst VirusTotal. Auch das Hijacking von Konversationen ist für die Opfer nur sehr schwer zu erkennen, da die Schad-E-Mails von einem legitimen aber kompromittierten Konto versendet werden. Tiefergehende Filter und intelligente Security-Mechanismen sind jedoch in der Lage beide dieser Angriffstechniken zu entdecken und diese vom Postfach des Empfängers fernzuhalten. Mit Hornetsecurity Advanced Threat Protection können solche Inhalte dennoch erkannt werden. Mit dem Feature Malicious Document Decryption ist es Hornetsecurity möglich, diese verschlüsselten Anhänge zu analysieren und Emotet zu identifizieren. Gerne stellen wir Ihnen die Vorzüge der Hornetsecurity Lösung in einem Webcast vor. Sprechen Sie uns an. Das Vorgehen der Cyberkriminellen hinter Emotet verdeutlicht, dass es auch für Unternehmen an der Zeit ist, den nächsten Schritt im Bereich der Cybersecurity zu gehen. Denn erfolgreiche Attacken treiben die Ambitionen der Hacker weiter an und bringen auch weitere Cyberkriminelle auf den Plan. Weitere Informationen zum Produkt Advanced Threat Protection finden Sie hier –> Hornetsecurity ATP
Was ist eigentlich Delayed Phishing?
Was ist eigentlich Delayed Phishing? Im Prinzip unterscheidet es sich kaum von den herkömmlichen Phishing-Links mit der Ausnahme das sie verzögert ausgeführt werden. Sie werden also quasi erst zu einem späteren Zeitpunkt aktiv. Somit können diverse Antispam Engines und Scanner umgangen werden. Phishing gilt seit langem als wichtiger Angriffspunkt in Unternehmensnetzwerken. Es ist daher kein Wunder, dass E-Mail-Anbieter, Mail-Gateways, Browser & Co. Antiphishing-Filter und Mail-Scanner einsetzen, um die Sicherheit ihrer Kunden zu garantieren. Aus diesem Grund lassen sich Cyberkriminelle ständig neue Methoden zur Umgehung dieser Filter einfallen, oder arbeiten am Feinschliff der bereits bestehenden Methoden. Dazu gehört beispielsweise auch das sogenannte „Delayed Phishing“ (verzögertes Phishing) Was ist eigentlich Delayed Phishing? Man bezeichnet den Versuch, ein Opfer mithilfe einer als Post Delivery Weaponized URL bezeichneten Technik auf eine Fake-Webseite zu locken auf der sich ein Schadcode befindet. Im Prinzip wird zunächst eine E-Mail mit einem Link verschickt, der zum Zeitpunkt der Zustellung noch eine legitime Ressource darstellt. Also ungefährlich erscheint. Es befinden sich noch keine schädlichen Inhalte hinter diesem Link. Nach der Zustellung der E-Mail wird jedoch die Zielseite verändert und nun verweist der Link plötzlich auf schadhafte Inhalte. Cyberkriminelle nutzen diese Technik um die Scanner auszutricksen. Denn die E-Mails werden nach Eintreffen gescannt. Die Schutzmechanismen spüren den Link in der E-Mail auf, scannen die verlinkte Seite und stellen nichts Verdächtiges fest. Die E-Mail wird dem Benutzer zugestellt. In der Zwischenzeit wurde das Ziel geändert bzw. die vermeintlich harmlose Webseite beinhaltet plötzlich schadhafte Inhalte. Dabei sind den Cyber-Kriminellen keine Grenzen gesetzt. Ob sie nun Banking-Seiten nachbauen oder Malware auf Ihren Rechner herunterladen, quasi Drive-By Trojaner etc. ist dabei völlig offen. Je mehr Phantasie die Angreifer haben um so mehr Opfer gibt es am Ende. Wie werden die Scanner ausgetrickst? Die Angreifer nutzen mehrere Methoden um ihre Phishing-E-Mails zu platzieren. Teilweise werden Simple Links verwendet. Kriminelle hacken oder Hijacken bekannte Webseiten oder Webseiten mit harmlosen Inhalten und verwenden diese als Ziel-URL. Häufig werden dabei auch einfach Fehlerseiten 404 verlinkt. Wie beschrieben wird die Ressource nach Versand der Phishing E-Mail ausgetauscht und mit Schadcode bestückt. Short-Links werden ebenfalls häufig verwendet. Lange URLs können mit Short-Links verkürzt werden und es den Benutzern erleichtern sich diese Links zu merken. Mit eigenen Diensten können jedoch die Inhalte, die hinter einem Short-Link stehen, geändert werden. Da es im Prinzip um einfache Umleitungen handelt können diese im Nachgang auch verändert werden und dann auf Inhalte verweisen welche schädlich sein können. Zufällige Kurzlinks werden ebenfalls verwendet. Einige Tools zum Kürzen der URL ermöglichen eine probabilistische Umleitung. Das heißt, der Link hat eine 50%ige Chance, zu google.com zu führen, und eine 50%ige Chance, eine Phishing-Site zu öffnen. Die Möglichkeit, auf einer legitimen Site zu landen, kann Webcrawler scheinbar verwirren. Wann werden Links ausgetauscht? Man kann nicht direkt sagen, wann die Inhalte hinter den Links getauscht werden und dann schädliche Inhalte bereitstellen. Beobachtungen zufolge werden viele solcher Phishing Links in der Nacht versendet. Häufig nach Mitternacht. Kurz vor Tagesanbruch, also sehr früh werden die Inhalte dann getauscht. Der Austausch passiert also nicht unmittelbar sondern einige Stunden verzögert. Anti-Phishing Trigger schlagen sehr häufig zwischen 7 und 10 Uhr an. Kann man Delayed Phishing erkennen? Ja, es gibt Mechanismen welche solche Inhalte ausspüren können. Zum einen könnte man das Postfach zu einem späteren Zeitpunkt nochmal scannen. Bis dahin ist der schädliche Inhalte evtl. bekannt und die E-Mail kann nachträglich aus dem Postfach entfernt werden. Eine bessere Variante ist die Time-of-Click Prüfung. Unser Partner Hornet Security bietet hier eine abgestimmte Lösung für Delayed Phishing E-Mails an. Die Inhalte der Links werden nicht nur beim Eintreffen der E-Mails gescannt oder auch bei jedem Klick auf den Link. Ändert sich also der Inhalt kann es zum Zeitpunkt des Aufrufes bestimmt werden. Weitere Informationen zu diesem Service finden Sie auch hier. Der Vorteil von der Time-of-Click Variante liegt auf der Hand. Es ist mit dieser Funktion auch möglich Cloud-basierte Dienste wie Microsoft365 oder Hosted Exchange zu verwenden. Cloud-Postfächer scannen ist zwar bei diversen Anbietern ebenfalls möglich, aber eine erhöhte Schutzfunktion erhält man bei der Time-of-Click Funktion da diese in Echtzeit die Inhalte prüfen kann. Gerne stellen wir Ihnen die Lösung von Hornet Security vor. Nehmen Sie unverbindlich Kontakt zu uns auf. Wir erläutern Ihnen die Vorzüge der Advanced Threat Protection von Hornet Security welche auch Sandboxing und weitere tolle Features im Kampf gegen Spam und Phishing beinhaltet.
Alles was vernetzt ist, wird auch angegriffen
Alles was vernetzt ist, wird auch angegriffen? Fachleute aus verschiedenen Bereichen sind sich einig, Cyberangriffe werden häufiger und wahrscheinlicher werden. Immer mehr alltägliche Dinge werden vernetzt. Damit steigt auch die Zahl der Geräte welche sich im Internet bewegen. Dadurch wird die Gefahr eines Cyberangriffs deutlich höher. Vor allem werden immer mehr Fahrzeuge vernetzt. Nach Expertenmeinungen werden schwerwiegende Angriffe auf vernetzte Fahrzeuge immer wahrscheinlicher. Alles was vernetzt ist, wird auch angegriffen! “Alles, was vernetzt ist, wird auch angegriffen”, sagte Hans Adlkofer, Manager beim Chiphersteller Infineon, der viele Autohersteller beliefert beim alljährlichen Autoforum der Allianz Versicherung. Ein Angriff auf eine gesamte Fahrzeugflotte oder sämtliche Fahrzeuge eines Modells werden als schlimmste Szenarien beschrieben. Vermutlich wäre eine Fernsteuerung bzw. das Umfunktionieren des Fahrzeugs wohl die schlimmste Bedrohung. Kriminelle könnten Fahrzeuge als Waffe einsetzen ohne selbst im Auto zu sitzen. Hauptziel für Kriminelle Neben Logistik- und Energiesektoren könnten vernetzte Autos das Hauptziel von Cyberkriminellen werden. Nach einer vor Ausbruch der Corona-Pandemie veröffentlichten Prognose des IT-Beratungsunternehmens Capgemini könnte sich die Zahl vernetzter Fahrzeuge in Europa bis 2023 auf über 110 Millionen nahezu verdreifachen. Viele Angriffspunkte seien gegeben bei beispielsweise virtuelle Autoschlüssel im Smartphone oder Schnittstellen zur Übertragung von Fahrzeugdaten oder der Unterhaltungselektronik. Eugene Kaspersky von dem Anti-Viren Hersteller Kaspersky hat bereits vor einigen Jahren vor der Gefahr von digitalisierten Fahrzeugen gewarnt. Internet der Dinge Das Internet der Dinge (englisch: Internet of Things kurz IoT) wächst weiter an. Damit steigen auch die Anzahl der Angriffe auf diverse Geräte. Dabei gibt es allerdings Unterschiede wieviel Schaden eine Attacke ausrichten kann. Bei einem Angriff auf Ihre Kaffeemaschine welche einen Internet-Zugang verwendet um evtl. eine neue Firmware zu installieren oder Statistikdaten zu versenden, mag nicht so gefährlich sein wie ein Angriff auf Ihr Fahrzeug. Denken wir an das autonome Fahren, wäre es von höchster Wichtigkeit die Fahrzeuge sicher zu machen. Ein Hackangriff und Umsteuerung des Fahrzeugs könnte massive Folgen haben. Lenkt der Angreifer das Fahrzeug bei Tempo 100 auf der Landstraße das Fahrzeug in den Gegenverkehr können schwerwiegende Unfälle vorkommen. Autos könnten als Waffen eingesetzt werden und in Menschenmassen gefahren werden. Dabei muss der Attentäter nicht mal mehr selbst vor Ort sein. Man kann also feststellen, dass IT-Sicherheit in vielen Bereichen ein Thema ist und auch nicht nur Unternehmen und Behörden betrifft. Jeder Bürger der sich im Internet bewegt, sollte sich über bestimmte Sicherheitslagen bewusst sein. Schützen Sie Ihre IT-Netzwerk-Infrastruktur mit unserem iKomm Dynamic Network Aversion Service. Sicherheitslösungen müssen nicht immer kostspielig und komplex sein. Gerne stellen wir Ihnen unsere Lösung in einem persönlichen Gespräch vor. Kontaktieren Sie uns für weitere Informationen.
Cybercrime steigt auf neues Niveau an
Cybercrime steigt auf neues Niveau an – Kriminelle und Erpresser werden immer raffinierter und bringen neue Gemeinheiten mit. Die Hintermänner von Emotet und Trickbot haben es uns in der Vergangenheit schon oft gezeigt wie lukrativ die neue Form der Entführung sein kann. Sie erpressten vielstellige Summen von Unternehmen und Organisationen und machten die Erpressung damit zum Goldesel der Kriminalität im Internet. Aber die Konkurrenz schäft nicht und schraubt die Gefahr für Unternehmen mit neuen Methoden auf ein noch höheres Niveau. Cybercrime steigt auf neues Niveau an Laut Berichten zahlte die Firma Garmin Ende Juli nach eine Infektionen mit der Ransomware WastedLocker mehrere Million US-Dollar in Bitcoin. Die Summen zum entschlüsseln der Daten etc. steigen weiter an und Unternehmen wie auch Organisationen müssen viel Geld in die Hand nehmen um Ihre Daten wieder zu erhalten. Der US-amerikanische Reiseorganisator CWT zahlte vermutlich 4,5 Millionen US-Dollar für Ihre Daten. Interessant bei dem Fall CWT ist, dass die Verhandlungen in einem öffentlich zugänglichen Forum geführt wurden. Auf Twitter wurde der Chat-Verlauf veröffentlicht und gibt uns Einblicke in die Verhandlungen. Die Erpresser gehen hier besonders trickreich vor. Sie haben nicht nur die Daten auf ca. 30.000 PCs verschlüsselt, sondern vorab auch knapp 2 Terabyte interne Firmendaten auf eigene Server kopiert und hochgeladen. Somit konnten Sie CWT ein doppeltes Angebot machen. Für 10 Millionen US-Dollar würden sie nicht nur die Schlüssel zu den verschlüsselten Daten herausgeben sondern auch die gestohlenen Daten von den eigenen Servern löschen. Am Ende einigte man sich vermutlich auf eine Summe von 4,5 Millionen US-Dollar. Reicht der Druck durch gestohlene Daten nicht aus, greifen die Erpresser auch gerne zu richtig schmutzigen Tricks. Dabei werden weitere erpresserische Szenarien eröffnet wie beispielsweise die sexuellen Vorlieben eines Vorstandsmitglieds zu veröffentlichen. Dabei wurden Illustrationen direkt mit gesendet. Auch vor Anrufen bei Geschäftspartnern schrecken die Erpresser nicht zurück. Somit müssen sich Ransomware-Opfer nunmehr nicht nur auf nicht mehr zugängliche Daten einstellen sondern auch darauf, mit den geklauten Daten systematisch erpresst zu werden. Man mag sich gar nicht ausmalen, was da noch alles auf uns zukommen kann. Es gibt zahlreiche Berichte und Vorfälle mit Erpressungstrojanern und die Zahlen steigen weiter an. Lesen Sie den kompletten Bericht von Jürgen Schmidt auf Heise.de Quelle: heise.de Erhalten Sie weitere Informationen zum Schutz Ihrer Infrastrukturen. Wir unterstützen Sie gerne Ihre Daten abzusichern. Schauen Sie dazu auf unsere aktuellen Aktionen von ESET Multifaktor-Authentifizierung oder unseren Premium Spamfilter von Hornetsecurity.
Emotet ist wieder zurück – Vorsicht Malware
Der Trojaner-König Emotet ist wieder zurück. Sicherheitsforscher berichten über massive weltweiten Spamwellen des gefährlichen Emotet-Trojaners. Nach fast fünfmontiger Pause schlägt der Trojaner mit neuen Werkzeugen wieder zu. Zuletzt war Emotet vor allem in der Weihnachtszeit 2019 sehr aktiv und das BSI (Bundesamt für Sicherheit in der Informationstechnologie) schlug Alarm. Damals wurden verstärkte Spammails beobachtet und zahlreiche Opfer wurden von dem Schädling attackiert. In den letzten Monaten konnten diverse Sicherheitsforscher keine weiteren Angriffe dokumentieren. Doch jetzt ist Emotet wieder zum Leben erwacht und hat einen weltweiten Großangriff gestartet. Emotet ist wieder zurück Verbesserte Angriffswerkzeuge In der Pause haben sich die Hintermänner des Emotet-Botnetzes nicht etwa ausgeruht. Die Werkzeuge wurden weiter verbessert. Die Forscher registrierten neue bzw. frische URLs in den Spammails welche versendet werden. Häufig führen die Links zu gehackten WordPress-Seiten. Aber auch frische Maschen werden verwendet um die Opfer dazu zu bewegen Word -oder Excel Dateien zu öffnen. Microsoft Security Intelligence schreibt dazu das man von mehreren hundert verschiedenen Anhängen ausgehen müsse. Vorsicht bei Links und Anhängen Das BSI rät bereits seit längerem dazu Anhänge nur von vermeintlich bekannten Personen zu öffnen. Dennoch sollte auch hier mit Vorsicht agiert werden, vor allem wenn es sich um Office Dokumente handelt. Man sollte auch immer die Links prüfen welche in den E-Mails versendet werden. Sind die Adresse plausibel oder zeigen die Links auch wirklich auf den angegeben Inhalt. Informationen zum Thema Emotet hat der BSI auch hier für Sie bereit gestellt. Aufpassen – Betrüger! Lesen Sie Ihre E-Mails sehr genau. Die E-Mails der Angreifer sehen oft vertrauenswürdig aus. Doch lassen Sie sich nicht vom aussehen täuschen. Kommt Ihnen die E-Mail spanisch vor prüfen Sie den Inhalt genau: Prüfen Sie genau die Inhalte und Absender und wenn Sie sich nicht sicher sind. Öffnen Sie keinen Anhang oder klicken auf einen Link. Rufen Sie falls angegeben beim angeblichen Absender an und fragen nach. Prüfen Sie ob der Link plausibel ist oder das Ziel korrekt ist Der Trojaner hat obendrein die Fähigkeit, auf infizierten Rechnern aus E-Mail-Programmen neben Kontaktinformationen und -beziehungen auch Nachrichteninhalte auszulesen. Damit täuschen die Angreifer sehr echt wirkende Antworten auf tatsächlich von einem Nutzer versandte E-Mails vor. Makros aktivieren, heißt es aktuell in Emotet-Spam-Mails beispielsweise, die Datei könne nicht korrekt geöffnet werden, da sie unter iOS erstellt worden sei. Man müsse die Bearbeitung aktivieren, um auf den Inhalt zugreifen zu können. Emotet lädt auch Schadsoftware nach. Oft sind das dabei Banking Trojaner, der es den Tätern erlaubt sich vollen Zugriff zum Netzwerk zu verschaffen. Die Angreifer können dann über Verschlüsselungstrojaner Ihre Daten verschlüsseln und ein Lösegeld fordern. Auf diese Art und Weise wurden in der Vergangenheit schon viele Unternehmen und Behörden lahm gelegt. Wie schützt man sich? Eine 100%ig sichere Lösung wird es da wohl nicht geben. Es ist eine Vielzahl an Sicherheitssystemen und Schulung von Mitarbeitern im Umgang mit Spammails notwendig. Gerne unterstützen wir die Absicherung Ihrer Infrastruktur mit unseren Partner wie beispielsweise Hornetsecurity, Kaspersky Labs oder ESET. Durch den Einsatz von Virenschutzlösungen, Antispam-Filtern, Sandboxing und vieles mehr können Sie einen großen Schritt machen um Ihre Strukturen vor solchen Angriffen zu sichern. Sprechen Sie uns an!Wir unterstützen Sie bei der Umsetzung einer sicheren IT-Infrastruktur.#wecreatesecurity Auch interessant: Bedrohung Was Emotet anrichten kann iKomm 03 März 2020
SICHERHEIT
Kaspersky Endpoint Security 11.5 veröffentlicht
Kaspersky Endpoint Security 11.5 veröffentlicht – Die neue Endpoint Security von Kaspersky ist seit dem 29.10.20 verfügbar. In der neuen Version wurden einige Änderungen und Erneuerungen zur Endpoint Security hinzugefügt. Hier die Versionshinweise zur aktuellen Endpoint Security 11.5.0.590: NEUERUNGEN IN KASPERSKY ENDPOINT SECURITY Kaspersky Endpoint Security für Windows 11.5.0 bietet folgende Neuerungen und Verbesserungen: Unterstützung für Windows 10 20H2. Besonderheiten im Hinblick auf die Unterstützung des Betriebssystems Microsoft Windows 10 finden Sie in der Wissensdatenbank des Technischen Supports. Aktualisierte Programmoberfläche. Aktualisiert wurden auch das Programmsymbol im Infobereich, die Programmbenachrichtigungen und die Dialogfelder. Verbesserte Schnittstelle des Web-Plug-Ins von Kaspersky Endpoint Security für die Komponenten Application Control, Device Control und Adaptive Anomaly Control. Funktionen zum Importieren und Exportieren von Listen von Regeln und Ausnahmen im XML-Format hinzugefügt. Mit dem XML-Format können Sie Listen nach dem Export bearbeiten. Sie können Listen nur in der Konsole von Kaspersky Security Center verwalten. Die folgenden Listen stehen für den Export/Import zur Verfügung: Verhaltensanalyse (Ausnahmeliste). Schutz vor Web-Bedrohungen (Liste der vertrauenswürdigen Web-Adressen). Schutz vor E-Mail-Bedrohungen (Liste der Erweiterungen für die Anlagenfilterung). Schutz vor Netzwerkbedrohungen (Ausnahmeliste). Firewall (Liste der Netzwerk-Paketregeln). Programmkontrolle (Liste der Regeln). Web-Kontrolle (Liste der Regeln). Überwachung von Netzwerkports (Listen von Ports und Programmen, die von Kaspersky Endpoint Security überwacht werden). Kaspersky-Festplattenverschlüsselung (Ausnahmeliste). Verschlüsselung von Wechseldatenträgern (Liste der Regeln). Dem Bericht über die Bedrohungserkennung wurden MD5-Informationen über Objekte hinzugefügt. In früheren Versionen des Programms zeigte Kaspersky Endpoint Security nur den SHA256 eines Objekts an. Es wurde die Möglichkeit hinzugefügt, die Priorität für Geräte-Zugriffsregeln in den Einstellungen für die “Gerätekontrolle” zuzuweisen. Die Prioritätszuweisung ermöglicht eine flexiblere Konfiguration des Benutzerzugriffs auf Geräte. Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde, reguliert Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage der Regel mit der höchsten Priorität. Beispielsweise können Sie der Gruppe “Jeder” schreibgeschützte Leseberechtigungen und der Gruppe “Administratoren” Lese-/Schreibberechtigungen gewähren. Weisen Sie dazu für die Gruppe der Administratoren eine Priorität von 0 und für die Gruppe “Jeder” eine Priorität von 1 zu. Sie können die Priorität nur für Geräte konfigurieren, die über ein Dateisystem verfügen. Dazu gehören Festplatten, Wechsellaufwerke, Disketten, CD/DVD-Laufwerke und tragbare Geräte (MTP). Neue Funktionalität hinzugefügt: Verwaltung von Audiobenachrichtigungen. Kostenbewusstes Networking. Kaspersky Endpoint Security begrenzt den eigenen Netzwerkverkehr, wenn die Internetverbindung eingeschränkt ist (z. B. durch eine mobile Verbindung). Verwaltung der Einstellungen von Kaspersky Endpoint Security über vertrauenswürdige Remote-Verwaltungsprogramme (wie TeamViewer, LogMeIn und RemotelyAnywhere). Mit Programmen zur Remote-Verwaltung können Sie Kaspersky Endpoint Security starten und Einstellungen in der Programmoberfläche verwalten. Verwaltung der Einstellungen für die Untersuchung von sicherem Datenverkehr in Firefox und Thunderbird. Sie können den Zertifikatspeicher auswählen, der von Mozilla verwendet wird: den Windows-Zertifikatspeicher oder den Mozilla-Zertifikatspeicher. Diese Funktionalität steht nur für Computer zur Verfügung, die über keine angewandte Richtlinie verfügen. Wenn eine Richtlinie auf einen Computer angewendet wird, ermöglicht Kaspersky Endpoint Security automatisch die Verwendung des Windows-Zertifikatspeichers in Firefox und Thunderbird. Es wurde die Möglichkeit hinzugefügt, den Untersuchungsmodus für den sicheren Datenverkehr zu konfigurieren: Datenverkehr immer untersuchen, auch wenn Schutzkomponenten deaktiviert sind, oder Datenverkehr untersuchen, wenn dies von Schutzkomponenten angefordert wird. Überarbeitetes Verfahren zum Löschen von Informationen aus Berichten. Ein Benutzer kann nur alle Berichte löschen. In früheren Versionen des Programms konnte ein Benutzer bestimmte Programmkomponenten auswählen, deren Informationen aus den Berichten gelöscht werden würden. Überarbeitetes Verfahren zum Importieren einer Konfigurationsdatei, die Kaspersky Endpoint Security-Einstellungen enthält, und überarbeitetes Verfahren zur Wiederherstellung von Programmeinstellungen. Vor dem Importieren oder Wiederherstellen zeigt Kaspersky Endpoint Security lediglich eine Warnung an. In früheren Versionen des Programms konnten Sie die Werte der neuen Einstellungen anzeigen, bevor sie angewendet wurden. Vereinfachtes Verfahren zur Wiederherstellung des Zugriffs auf ein Laufwerk, das mit BitLocker verschlüsselt wurde. Nach Abschluss des Zugriffswiederherstellungsverfahrens fordert Kaspersky Endpoint Security den Benutzer auf, ein neues Kennwort oder einen neuen PIN-Code festzulegen. Nachdem ein neues Kennwort festgelegt wurde, verschlüsselt BitLocker das Laufwerk. In der vorherigen Version des Programms musste der Benutzer das Kennwort in den BitLocker-Einstellungen manuell zurücksetzen. Benutzer können jetzt ihre eigene lokale vertrauenswürdige Zone für einen bestimmten Computer erstellen. Auf diese Weise können Benutzer zusätzlich zu der allgemeinen vertrauenswürdigen Zone in einer Richtlinie ihre eigenen lokalen Listen mit Ausnahmen und vertrauenswürdigen Programmen erstellen. Ein Administrator kann die Verwendung lokaler Ausnahmen oder lokaler vertrauenswürdiger Programme zulassen oder sperren. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen. Es wurde die Möglichkeit hinzugefügt, in den Eigenschaften von vertrauenswürdigen Programmen Kommentare einzugeben. Kommentare tragen dazu bei, die Suche und Sortierung von vertrauenswürdigen Programmen zu vereinfachen. Programmverwaltung über eine REST API: Es gibt jetzt die Möglichkeit, die Einstellungen der Mail Threat Protection-Erweiterung für Outlook zu konfigurieren. Es ist verboten, die Erkennung von Viren, Würmern und Trojanern zu deaktivieren. HARD- UND SOFTWAREVORAUSSETZUNGEN Um die Funktionsfähigkeit von Kaspersky Endpoint Security zu gewährleisten, sind folgende Systemvoraussetzungen zu erfüllen. Allgemeine Mindestanforderungen: 2 GB freier Platz auf der Festplatte PROZESSOR: Workstation: 1 GHz Server: 1,4 GHz Unterstützung für den SSE2-Befehlssatz. Arbeitsspeicher: Workstation (x86): 1 GB Workstation (x64): 2 GB Server: 2 GB Microsoft .NET Framework 4.6.1 oder höher. Unterstützte Betriebssysteme für Workstations: Windows 7 Home / Professional / Ultimate / Enterprise Service Pack 1 und höher Windows 8 Professional / Enterprise Windows 8.1 Professional / Enterprise Windows 10 Home / Pro / Education / Enterprise Der Signaturalgorithmus des SHA-1-Moduls ist von Microsoft als veraltet eingestuft. Das Update KB4474419 ist für die erfolgreiche Installation von Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Microsoft Windows 7 erforderlich. Weitere Einzelheiten zu diesem Update finden Sie auf der Website des technischen Supports von Microsoft. Besonderheiten im Hinblick auf die Unterstützung des Betriebssystems Microsoft Windows 10 finden Sie in der Wissensdatenbank des Technischen Supports. Unterstützte Betriebssysteme für Server: Windows Small Business Server 2011 Essentials / Standard (64-Bit) Microsoft Small Business Server 2011 Standard (64-Bit) wird nur unterstützt, wenn Service Pack 1 für Microsoft Windows Server 2008 R2 installiert ist Windows MultiPoint Server 2011 (64-Bit) Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter Service Pack 1 und höher Windows Server 2012 Foundation / Essentials / Standard / Datacenter Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter Windows Server 2016 Essentials / Standard / Datacenter Windows Server 2019 Essentials /
Die DSGVO nicht aus den Augen verlieren
Die DSGVO nicht aus den Augen verlieren, so der Leitsatz der Kampagne die von der European Union Agency for Network and Information Security (ENISA) ins Leben gerufen wurde. Seit 2012 steht der Oktober im Zeichen der Cybersicherheit. Um Verbraucher, Institutionen und Unternehmen für das Thema zu sensibilisieren wurde die Kampagne gestartet. Heute beteiligen sie mehr als 100 Partner am European Cybersecurity Month (ECSM) unter anderem auch das BSI. Die Cyberbedrohungen werden von Jahr zu Jahr komplexer und auch die Richtlinien für Datenschutz haben sich stark verändert. Besonders im Mai 2018 mit der Einführung der Datenschutz-Grundverordnung (DSGVO) wurden die Datenschutz-Richtlinien verschärft. Ein tiefes Bewusstsein für IT-Sicherheit und Datenschutz ist für Unternehmen heute wichtiger denn je. Die DSGVO nicht aus den Augen verlieren – Bitkom Studie Laut einer Bitkom Studie konnten selbst nach einem Jahr nach Inkrafttretens der DSGVO nur rund 25% der deutschen Unternehmen eine DSGVO-Konformität vorweisen. Compliance und Datensicherheit sind für viele Unternehmen noch eine große Herausforderung. Etliche Strafzahlungen werden weiterhin anfallen. So musste beispielsweise der Konzern H&M dieses Jahr in Deutschland aufgrund von Datenschutzverletzungen eine hohe Summe an Strafzahlungen aufbringen. Aber auch für kleine und mittelständische Unternehmen fallen die Bußgelder hoch aus. Bislang traf es hauptsächlich große Konzerne bzw. Unternehmen, dennoch sollte man sich nicht in falscher Sicherheit wähnen. Was können Unternehmen also tun, um eine DSGVO-Konformität zu erreichen? Ein wichtiger Schritt um Datenschutzverletzungen zu minimieren ist das Identifizieren von Sicherheitslücken und Schwachstellen. Anwendungen mit sensiblen Daten müssen ausreichend geschützt werden. Genau dort wo sensible Daten gespeichert werden, kommt es häufig zu Compliance Verstößen. DSGVO konform werden Regelmäßiges überprüfen der Anwendungen wird häufig noch vernachlässigt. Dabei gehört das Scannen und Überprüfen der Anwendungen zum wesentlichen und wichtiges Teil um die Voraussetzungen zu erfüllen. Häufiges überprüfen führt auch zu häufigen Anpassungen bzw. Updates der Anwendungen. So lassen sich Schwachstellen und Fehler schnell beheben. Dadurch steigt das Datenschutz-Niveau um ein vielfaches. In einer Ausgabe des State of Software Report wurden 83% aller gescannter Anwendungen mit mindestens einer Schwachstelle identifiziert. Unternehmen die ihre Anwendungen regelmäßig überprüfen können im Schnitt doppelt so schnell die Schwachstellen beheben. Ein unregelmäßiges scannen führt also unweigerlich zu einer nicht vollständigen Compliance. Das wiederum kann Bußgelder für Unternehmen bedeuten. Zwar ist der Oktober der offizielle Monat der Cybersicherheit, aber grundsätzlich sollten sich Unternehmen jeden Tag um die Sicherheit der Daten kümmern. Mit einem DevSecOps-Ansatz können sie die DSGVO nicht aus den Augen verlieren. Möchten Sie mehr zum Thema Datenschutz und IT-Compliance erfahren? Die Datenschutz-Experten der iKomm GmbH stehen Ihnen mit Rat und Tat zur Seite. Wir führen mit Ihnen gemeinsam auch Pentration-Tests durch um Sicherheitslücken ausfindig zu machen. Nehmen Sie Kontakt zu uns auf um Ihr persönliches Angebot zu erhalten.
SEPPmail GINA-User in sieben Schritten erzeugen
In einem neuen Blog-Eintrag von SEPPmail beschreibt der Hersteller wie man mit SEPPmail GINA-User in sieben Schritten erzeugen kann. Mit dieser Möglichkeit kann man schnell GINA-User aus Kundendaten erzeugen. Die patentierte GINA-Technologie ermöglicht es, auch mit denjenigen Empfängern verschlüsselt per E-Mail zu kommunizieren, die keine eigene Verschlüsselungstechnologie im Einsatz haben. Um für Empfänger, die nur selten verschlüsselte E-Mails lesen, den Prozess weiter zu vereinfachen, entstand der Wunsch, GINA-Konten vorab anlegen zu können. Das ergibt vor allem dann Sinn, wenn verschlüsselte Daten an eine Vielzahl von Empfängern gesendet werden und das entsprechende Passwort den Empfängern bekannt sowie in irgendeiner Form beim Versender verfügbar ist, beispielsweise die letzte Rechnungsnummer, Sozialversicherungs- oder Kundennummer etc. Damit lassen sich große Mengen an GINA-Usern anlegen und stetig aktualisieren. SEPPmail GINA-User in sieben Schritten erzeugen Um schnell GINA-User anlegen zu können hat SEPPmail eine REST API entwickelt. Die Legacy API lässt sich via PowerShell-Modul ansteuern und ist plattformunabhängig, sodass sie unter Windows, Linux oder macOS verwendet werden kann. Unterstützung für Windows PowerShell 5.1 bis PowerShell 7 ist ebenfalls enthalten. Die Legacy API funktioniert gut wird aber offiziell nicht unterstützt. Man erhält also vom Hersteller offiziell dazu keinen Support wenn es zu Problemen kommt. Von daher ist der Einsatz der API auf eigene Gefahr. Wie eine solche Benutzeranlage in der Praxis aussieht, wird nachfolgend dargestellt. (Quelle: https://seppmail.de/in-sieben-schritten-gina-user-aus-kundendaten-erzeugen/) Legacy API einrichten Die Legacy API wird standardmäßig ab Version 11.1.9 ausgeliefert. Um die API zu nutzen, muss man eine Gruppe „legacyappadmin“ erstellen und einen Benutzer zu dieser Gruppe hinzufügen, der dann Zugriff auf die API hat. Für diese Zwecke empfehlen wir, einen eigenen Benutzer anzulegen, der ansonsten keine Admin-Rechte besitzt. Dieser Benutzer benötigt keine encrypt/sign-Lizenz. PowerShell-Modul installieren Das PowerShell-Modul ist auf dem öffentlichen PowerShell Repository von Microsoft verfügbar und kann von dort mittels „Install-Module SEPPmailLegacy – Scope CurrentUser -AllowPrerelease“ installiert werden. Dies ist von Windows, Linux oder macOS möglich. Das Legacy-API Modul ist derzeit noch in einer Prerelease Version verfügbar. Ab Version 1.0 muss man bei der Installation den „-AllowPrerelease“ Parameter weglassen. Um eine Installation durchzuführen, muss die Execution Policy zumindest auf „RemoteSigned“ gesetzt werden (als Administrator: Set-ExecutionPolicy RemoteSigned). Falls die Installationen von der Powershell Gallery im Unternehmen nicht erlaubt sind, stehen in der Readme-Datei auf GitHub alternative Installationswege beschrieben. Konfiguration erzeugen Wenn man das Modul erstmalig mit „Import-Module SEPPmailLegacy“ lädt, wird man dazu aufgefordert, eine neue Konfiguration zu erstellen. Die Konfiguration enthält Zugangsinformationen zu einer einzelnen SEPPmail-Appliance. Die Anlage erfolgt zum Beispiel mittels New-SLConfig -SEPPmailFQDN securemail.contoso.de -UserName LegacyAPIUser. Die Konfiguration wird als Datei im Home-Verzeichnis, Unterordner „.SEPPmailLegacy“ abgespeichert. Falls bei der Anlage etwas falsch eingegeben wurde, kann sie mittels „Remove-SLConfig“ gelöscht und danach neu angelegt werden. Eine neu angelegte Konfiguration wird sofort als Standardkonfiguration festgelegt und lässt sich mittels „Test-SLConfig“ überprüfen. Daten aufbereiten Über die Kommandozeile können GINA-User nun einzeln erzeugt werden. Beispiel: New-SLGinaUser -eMailAddress max.mustermann@contoso.de -userName MaxMustermann -pwd Abc123! Für eine Massenanlage lässt sich eine CSV-Datei mit den Spalten „userName“,“eMailAddress“,“mobile“,“password“ anlegen. Wie die Beispiele auf GitHub zeigen, können anschließend beliebig viele Benutzer erzeugt werden. userName eMailAddress mobile password Alice Miller alice.miller@contoso.com +436684203731 Abc123 Bob Brown bob.brown@contoso.com +4366087654312 Cde456 Charly White charly.white@contoso.com +436769876223 Fgh481$ SEPPmail GINA-User in sieben Schritten – GINA-User anlegen Nachdem alle Vorbereitungen getroffen wurden, ist es möglich, die CSV-Dateien direkt zu verwenden, um GINA-User anzulegen. Import-Csv \NewGINAUsers.csv|New-SLGINAUser Damit werden alle GINA-Benutzer aus der CSV-Datei erzeugt. GINA-User aktualisieren Bestimmte Anwendungsszenarien können es erfordern, dass gewisse GINA-Daten regelmäßig zu aktualisieren sind. Wenn etwa beim Versand von Rechnungen das GINA-Passwort des Empfängers immer die Rechnungsnummer des Vormonats ist, müssen die Passwörter regelmäßig aktualisiert werden. Dafür kann man ebenfalls eine CSV-Datei verwenden und folgende Eigenschaften eines GINA-Users aktualisieren: userName eMailAddress mobile question answer creator customer language password zip_attachment expired Wenn eine CSV-Datei mit diesen Werten und dem Wert eMailAddress zur Identifikation des Benutzers erzeugt wurde, kann man mit dem Befehl Import-Csv .\examples\UpdateGINAUsers.csv |Set-SLGINAUser die Daten der Gina-User ändern. Optional SMS-Provider einbinden Wenn GINA-User vorab angelegt werden, ist es gegebenenfalls sinnvoll, sie per SMS zu informieren, dass sie ab sofort GINA-Mails empfangen und lesen können. Viele SMS-Provider bieten dazu eine REST API-Schnittstelle an. Mit den Daten aus der CSV-Tabelle können die Mobiltelefonnummer und das Passwort verwendet werden, um auf einem „zweiten Weg“ den GINA-Empfänger über sein Kennwort zu informieren. Als Beispiel dient das nachfolgende Skript, welches den SMS-Dienst ASPSMS verwendet, um SMS zu versenden. Ein entsprechendes Credential-Objekt mit den Zugangsdaten zum SMS-Service muss vorher im Pfad c:\temp\aspsms.xml als verschlüsseltes XML existieren. Dateiname: send-aspsms.ps1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 [CmdLetBinding()] param( $mobile, $text ) $cred = Import–CliXML c:\temp\aspsms.xml $baseurl = ‘https://json.aspsms.com’ $smsBodyHt = [ordered]@{ UserName = $cred.UserName; Password = $cred.GetNetworkCredential().Password; Originator = “SEPPmail”; Recipients = @($mobile); MessageText = $text; } $smsJSONBody = ConvertTo–Json $smsBodyHt $urlext = ‘/SendSimpleTextSMS’ $uri = “$baseurl”+“$urlext” Invoke–RestMethod –Credential $cred –Uri $uri –Method POST –body $smsJSONBody Wenn Sie das Skript wie oben als ps1 abspeichern, lassen sich die Kundendaten verwenden und die Mobiltelefonnummer sowie beispielsweise das Passwort als SMS versenden. 1 2 3 4 5 $smsdata = Import–Csv .\examples\NewGINAUsers.csv|select–object mobile,password foreach ($i in $smsdata) { & ./test/send–aspsms.ps1 –mobile $($i.mobile) –text “Ihr Zugangskennwort ist $($i.password)” } Damit können GINA-User vorab über ihr Kennwort informiert werden und sofort mit dem Lesen der verschlüsselten E-Mails loslegen. Weitere Informationen zum Thema E-Mail Verschlüsselung erhalten Sie hier. Profitieren Sie jetzt von unserem E-Mail Verschlüsselungsservice mit SEPPmail. Wir kümmern uns um alles. Sie können sich zurücklehnen und auf Ihre wichtigen Geschäftsbereiche konzentrieren. Lesen Sie mehr…
NEUIGKEITEN
Öffnungszeiten Weihnachtsfeiertage
Öffnungszeiten Weihnachtsfeiertage Auch in diesem Jahr nehmen wir uns über die Weihnachtszeit eine kleine Auszeit und nutzen die Feiertage um neue Energie für das kommende Jahr zu sammeln. In den unten stehenden Zeiten ist unser Büro nur eingeschränkt besetzt. WIR MACHEN URLAUB 24.12.2020 – 06.01.2021 Bei Notfällen:Für die technische Betreuung unserer Kunden haben wir einen Bereitschaftsservice eingerichtet der zu folgenden Zeiten telefonisch für Sie erreichbar ist: 28.12.2020 – 08:00 Uhr – 17:00 Uhr29.12.2020 – 08:00 Uhr – 17:00 Uhr30.12.2020 – 08:00 Uhr – 17:00 Uhr04.01.2021 – 08:00 Uhr – 17:00 Uhr05.01.2021 – 08:00 Uhr – 17:00 Uhr Telefon: +49 (0)911 – 30 91 8 – 40Per E-Mail können Sie uns auch außerhalb der oben genannten Zeiten erreichen. Schreiben Sie eine E-Mail an support@ikomm.de. Ein Mitarbeiter wird sich mit Ihnen in Verbindung setzen. Ab Donnerstag den 07.01.2021 sind wir wieder vollständig für Sie da. *ACHTUNG: Bitte beachten Sie den Aufschlag für unseren technischen Support in den Bereitschaftsservicezeiten. In diesen Zeiten wird der Support-Aufwand mit 180€/netto pro Stunde berechnet. Sollten Sie einen Wartungsvertrag mit der iKomm GmbH haben, bleiben Sie von dieser Regelung unberührt.
Ransomware im Schatten der DSGVO
Ransomware im Schatten der DSGVO – Seit dem Corona Lockdown ziehen Cyberkriminelle ganz unverschämt neue Saiten der Erpressung auf. Androhungen von Datenschutzkatastrophen sind dabei sehr häufig geworden. Nicht nur das Zerstören von Daten durch Verschlüsselung welche nicht wieder aufgehoben wird, ist eine beliebte Variante, sondern auch das Stehlen von Daten welche zu Datenschutzproblemen führen können. Im Visier dabei natürlich möglichst viele personenbezogene Daten oder schmutzige Geheimnisse der Unternehmen. Ransomware spült jährlich erhebliche Summen in die Kassen organisierter Cyber-Kriminalität hinein. Zu Beginn des Lockdowns hat die durchschnittliche Forderung 111.605 USD erreicht (ein hundert elf tausend Dollar und ein paar Gequetschte), ein Anstieg um 33 Prozent in nur rund drei Monaten (laut Coveware rund 84.116 USD im vierten Quartal des vergangenen Jahres). Die Corona-Krise hat die Täter noch weiter ermutigt: die durchschnittliche Lösegeldforderung explodierte im Lockdown um weitere 60 Prozent auf 178.254 USD. Die Gesamtkosten für die Wirtschaft und Gesellschaft sind noch um Einiges höher; sie belaufen sich schätzungsweise im globalen Maßstab bereits auf knapp 20 Milliarden USD pro Jahr. Auch Angriffe auf deutsche Unternehmen spitzen sich zu. Durch Spam werden die meisten Betroffenen attackiert bzw. über Spam-Wellen wird die Ransomware verbreitet und anschließend die Opfer zur Kasse gebeten. Bei der Betrugsmasche hat sich ein wenig verändert. Mittlerweile werden nicht nur Daten verschlüsselt und nur gegen ein Lösegeld können die Daten wieder entschlüsselt werden, sondern es werden auch geschäftsinterne Daten oder personenbezogene Daten entwendet. Mit diesen Daten werden die Unternehmen dann erpresst, bei nicht Zahlung der Lösegeldforderung werde man diese Daten veröffentlichen und damit Datenschutzverletzung der Unternehmen kreieren oder gar schlimmeres… Wichtige Daten können der Öffentlichkeit oder auch der Konkurrenz zugänglich gemacht werden. Weitere Informationen zu diesem interessanten Thema können Sie hier erfahren. Ein sehr guter Bericht über die aktuelle Lage bezüglich Datenschutz und Ransomware-Attacken. Zum Bericht –> https://www.security-insider.de/ransomware-attacken-im-schatten-der-dsgvo-a-984529/ Ransomware im Schatten der DSGVO Wie man mit Ransomware umgehen kann, haben wir in zahlreichen Beiträgen bereits beschrieben. Dennoch sind noch lange nicht alle Unternehmen ausreichend geschützt. Eine 100%ige Garantie dass man nicht selbst Opfer von Betrügern und Cyberkriminellen wird hat man natürlich nicht. Aber mit eine gewissen Sicherheitsstrategie kann man in der Prävention schon viel erreichen. Gerne stellen wir Ihnen eine Analyse Ihrer Sicherheitsinfrastrukturen zusammen und ermitteln mit Ihnen als Unternehmen gemeinsam die beste Strategie im Kampf gegen Ransomware. Wir beraten Sie gerne auch zum Thema Datenschutz und DSGVO. Laut Verordnung können nämlich auch saftige Strafen warten, selbst wenn Sie nicht direkt Schuld an den Datenschutzverletzungen sind. Sprechen Sie uns an!
Kategorien
Schlagwörter
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
- Unseren Newsletter können jederzeit wieder abbestellen. Ihre Daten werden nicht an Dritte weitergegeben oder anderweitig verarbeitet.
- Ihre Nachricht wird gesichert übertragen