Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdecktwurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.
https://www.greenbone.net/wp-content/uploads/AdobeStock_174481608_klein.jpg393800Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-07-30 09:04:072019-07-30 09:04:07Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
Emotet hat – wie von Security-Experten bereits befürchtet – wieder hinzugelernt. Die Schadsoftware erstellt nun auch authentische Antworten auf bestehende E-Mails wie CERT-Bund via Twitter berichtete. So verleitet sie arglose Empfänger dazu, infizierte Anhänge zu öffnen oder auf gefälschte Links zu klicken. Unternehmen haben aber trotzdem noch Möglichkeiten, gegenzusteuern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Vergangenheit bereits mehrfach vor der Schadsoftware Emotet gewarnt. Die Malware verschickt Spam-Mails aus dem eigenen E-Mail-Programm eines Betroffenen an die Kontakte im Adressbuch, um sich weiterzuverbreiten, und wirkt dadurch besonders glaubwürdig. Einmal infiziert, lädt der Schädling weitere Malware nach. Mögliche Folgen für Unternehmen: Produktionsstopps, komplett ausfallende Infrastrukturen und wiederaufzubauende Unternehmensnetzwerke.
Wie von Security-Experten befürchtet, haben Hacker die Schadsoftware nun weiterentwickelt, wie CERT-Bund twitterte: Emotet nutzt nun nicht mehr nur die Absenderadressen, sondern produziert mithilfe ausgelesener Nachrichteninhalte gefälschte Antworten auf E-Mails und bettet authentisch wirkende Links auf die Domain des vermeintlichen Versenders ein. Die Malware macht sich damit die Technik des sogenannten „Spear Phishing“ zunutze. Hier werden Informationen über die Kontakte und das Kommunikationsverhalten des Opfers gesammelt, um eine möglichst authentische E-Mail mit Schadcode im Dateianhang zu erstellen. Emotet hat diesen Prozess automatisiert und ist dadurch in der Lage, viele authentische E-Mails in kurzer Zeit zu verschicken und sich schnell zu verbreiten. Doch trotzdem die Schadsoftware immer raffinierter vorgeht, haben Unternehmen noch die Möglichkeit, zu handeln und sich davor zu schützen.
Unternehmen haben Handlungsmöglichkeiten und sollten sie nutzen
Betrachtet man den Aufbau von Emotet genauer, ergeben sich etwa auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann. So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen.
Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.
Nachladen von Emotet-Tools erkennen
Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.
Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene Systeme zu finden und die Lücke zu schließen.
Fazit: Kleine Security-Maßnahmen haben große Wirkung
Besonders für kritische Infrastrukturen (KRITIS) wie Krankenhäuser können großflächige Computerausfälle durch die Schadsoftware Emotet katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Unternehmen sollten also jetzt handeln und ihre IT-Infrastrukturen bestmöglich schützen. Um widerstandsfähig gegen Phishing-Attacken mit fortschrittlicher Malware wie den neuen Emotet-Typus zu werden, reichen oft wenige koordinierte Maßnahmen, wie etwa nicht benötigte Makros zu deaktivieren und bereits bekannte Schwachstellen so schnell wie möglich zu schließen.
https://www.greenbone.net/wp-content/uploads/security-265130_1920.jpg12801920Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-04-30 14:51:042019-04-30 14:51:04Update: Schadsoftware Emotet führt nun E-Mail-Konversationen fort, um noch glaubwürdiger zu wirken
Neue OS-Versionen werden jeweils zum 30. April und 31. Oktober veröffentlicht
2019 werden wir auf ein neues Release-Schema für Greenbone OS – dem Betriebssystem unserer Greenbone Security Manager (GSM) – umsteigen. Das bedeutet: Zukünftig gibt es feste Veröffentlichungstermine, die jedes Jahr gleich bleiben. Das gibt nicht nur unseren Kunden und Partnern, sondern auch dem Greenbone-Entwicklungsteam selbst mehr Planungssicherheit.
Die neuen fixen Termine sind jedes Jahr der 30. April und der 31. Oktober. Im Übergangsjahr 2019 veröffentlichen wir das als nächstes anstehende GOS 5.0 noch in der zweistufigen Aufteilung für ENTRY/SME (30. April) und MIDRANGE/ENTERPRISE/SENSOR (30. Juni). Das GOS 6.0 wir dann bereits gemäß dem neuen Schema in einem einzigen Schritt für alle GSM-Geräte freigegeben. Ab 2020 gilt das neue Time-Based-Release-System in vollem Umfang.
Das Schema basiert auf harten Fristen für neue Funktionen, neue GSM-Typen und neue Hardware. Wenn ein Feature es nicht zu einem Veröffentlichungstermin schafft, wird es für das Folge-Release berücksichtigt.
Ausgereifte Systeme durch einmonatige Testphase in der Greenbone-Community
Zudem durchläuft unser GVM für jedes GOS Release eine einmonatige Testphase: Vor dem Release am 30. April beziehungsweise 31. Oktober wird die jeweils aktuelle Source Edition im GVM Release der Greenbone-Community bereitgestellt. Eventuelle Bugs lassen sich so eliminieren, bevor unsere Kunden und Partner das neue GOS in Betrieb nehmen.
Ein weiterer Vorteil der neuen Time-Based Releases: Der Zyklus von zwei neuen Hauptversionen pro Jahr erhöht das Tempo, mit dem Innovationen zu unseren Anwendern gelangen. Zudem können User schneller auf neue GOS-Versionen aufspringen: Zum einen alle sechs Monate zu den offiziellen Release-Terminen (Innovation Cycle). Zum anderen alle 12 Monate während einer dreimonatigen Migrationsphase, in der sie dann eine GOS-Generation überspringen können – diese sind jeweils Mai/Juni/Juli oder November/Dezember/Januar (Conservative Cycle).
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-04-10 14:57:522019-04-17 14:39:46Feste Release-Termine für Greenbone OS
Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
BlogHack Backs – Pro und Kontra
Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdeckt wurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.
Update: Schadsoftware Emotet führt nun E-Mail-Konversationen fort, um noch glaubwürdiger zu wirken
BlogEmotet hat – wie von Security-Experten bereits befürchtet – wieder hinzugelernt. Die Schadsoftware erstellt nun auch authentische Antworten auf bestehende E-Mails wie CERT-Bund via Twitter berichtete. So verleitet sie arglose Empfänger dazu, infizierte Anhänge zu öffnen oder auf gefälschte Links zu klicken. Unternehmen haben aber trotzdem noch Möglichkeiten, gegenzusteuern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Vergangenheit bereits mehrfach vor der Schadsoftware Emotet gewarnt. Die Malware verschickt Spam-Mails aus dem eigenen E-Mail-Programm eines Betroffenen an die Kontakte im Adressbuch, um sich weiterzuverbreiten, und wirkt dadurch besonders glaubwürdig. Einmal infiziert, lädt der Schädling weitere Malware nach. Mögliche Folgen für Unternehmen: Produktionsstopps, komplett ausfallende Infrastrukturen und wiederaufzubauende Unternehmensnetzwerke.
Wie von Security-Experten befürchtet, haben Hacker die Schadsoftware nun weiterentwickelt, wie CERT-Bund twitterte: Emotet nutzt nun nicht mehr nur die Absenderadressen, sondern produziert mithilfe ausgelesener Nachrichteninhalte gefälschte Antworten auf E-Mails und bettet authentisch wirkende Links auf die Domain des vermeintlichen Versenders ein. Die Malware macht sich damit die Technik des sogenannten „Spear Phishing“ zunutze. Hier werden Informationen über die Kontakte und das Kommunikationsverhalten des Opfers gesammelt, um eine möglichst authentische E-Mail mit Schadcode im Dateianhang zu erstellen. Emotet hat diesen Prozess automatisiert und ist dadurch in der Lage, viele authentische E-Mails in kurzer Zeit zu verschicken und sich schnell zu verbreiten. Doch trotzdem die Schadsoftware immer raffinierter vorgeht, haben Unternehmen noch die Möglichkeit, zu handeln und sich davor zu schützen.
Unternehmen haben Handlungsmöglichkeiten und sollten sie nutzen
Betrachtet man den Aufbau von Emotet genauer, ergeben sich etwa auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann. So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen.
Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.
Nachladen von Emotet-Tools erkennen
Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.
Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene Systeme zu finden und die Lücke zu schließen.
Fazit: Kleine Security-Maßnahmen haben große Wirkung
Besonders für kritische Infrastrukturen (KRITIS) wie Krankenhäuser können großflächige Computerausfälle durch die Schadsoftware Emotet katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Unternehmen sollten also jetzt handeln und ihre IT-Infrastrukturen bestmöglich schützen. Um widerstandsfähig gegen Phishing-Attacken mit fortschrittlicher Malware wie den neuen Emotet-Typus zu werden, reichen oft wenige koordinierte Maßnahmen, wie etwa nicht benötigte Makros zu deaktivieren und bereits bekannte Schwachstellen so schnell wie möglich zu schließen.
Feste Release-Termine für Greenbone OS
BlogNeue OS-Versionen werden jeweils zum 30. April und 31. Oktober veröffentlicht
2019 werden wir auf ein neues Release-Schema für Greenbone OS – dem Betriebssystem unserer Greenbone Security Manager (GSM) – umsteigen. Das bedeutet: Zukünftig gibt es feste Veröffentlichungstermine, die jedes Jahr gleich bleiben. Das gibt nicht nur unseren Kunden und Partnern, sondern auch dem Greenbone-Entwicklungsteam selbst mehr Planungssicherheit.
Die neuen fixen Termine sind jedes Jahr der 30. April und der 31. Oktober. Im Übergangsjahr 2019 veröffentlichen wir das als nächstes anstehende GOS 5.0 noch in der zweistufigen Aufteilung für ENTRY/SME (30. April) und MIDRANGE/ENTERPRISE/SENSOR (30. Juni). Das GOS 6.0 wir dann bereits gemäß dem neuen Schema in einem einzigen Schritt für alle GSM-Geräte freigegeben. Ab 2020 gilt das neue Time-Based-Release-System in vollem Umfang.
Das Schema basiert auf harten Fristen für neue Funktionen, neue GSM-Typen und neue Hardware. Wenn ein Feature es nicht zu einem Veröffentlichungstermin schafft, wird es für das Folge-Release berücksichtigt.
Ausgereifte Systeme durch einmonatige Testphase in der Greenbone-Community
Zudem durchläuft unser GVM für jedes GOS Release eine einmonatige Testphase: Vor dem Release am 30. April beziehungsweise 31. Oktober wird die jeweils aktuelle Source Edition im GVM Release der Greenbone-Community bereitgestellt. Eventuelle Bugs lassen sich so eliminieren, bevor unsere Kunden und Partner das neue GOS in Betrieb nehmen.
Ein weiterer Vorteil der neuen Time-Based Releases: Der Zyklus von zwei neuen Hauptversionen pro Jahr erhöht das Tempo, mit dem Innovationen zu unseren Anwendern gelangen. Zudem können User schneller auf neue GOS-Versionen aufspringen: Zum einen alle sechs Monate zu den offiziellen Release-Terminen (Innovation Cycle). Zum anderen alle 12 Monate während einer dreimonatigen Migrationsphase, in der sie dann eine GOS-Generation überspringen können – diese sind jeweils Mai/Juni/Juli oder November/Dezember/Januar (Conservative Cycle).