Schlagwortarchiv für: Greenbone

Greenbone AG

#GreenboneGoesGlobal: Starker Auftritt auf der ITASEC 2025 in Bologna

Vom 3. bis 8. Februar 2025 findet in Bologna die ITASEC statt, Italiens wichtigste Konferenz für Cybersicherheit. Als Platin-Sponsor setzt Greenbone ein starkes Zeichen für europäische Zusammenarbeit und digitale Sicherheit. Mit diesem Schritt zeigen wir, wie sehr wir auf globale Präsenz und den direkten Austausch mit den Kunden setzen.

Straßenszene in der Altstadt von Bologna mit Blick auf die mittelalterlichen Türme ‚Due Torri‘, Veranstaltungsort der IT-Sicherheitskonferenz ITASEC 2025

Die „Due Torri“, zwei mittelalterliche Türme, prägen das Bild der historischen Altstadt von Bologna. (Foto: Markus Feilner, CC-BY 2016)

 

Neue Perspektiven in Italien und weltweit

„Wir stellen bei Greenbone mehr und mehr fest, wie wichtig unser Schwachstellenmanagement für Kunden aus ganz Europa ist, und wie wichtig diesen Kunden eine direkte Kommunikation mit uns vor Ort ist“, erklärt Marketing-Vorstand Elmar Geese. Um diesem Bedarf gerecht zu werden, hat Greenbone die italienische Tochtergesellschaft OpenVAS S.R.L. gegründet. Gleichzeitig expandiert Greenbone in andere Regionen. Auf dem Zettel stehen eine neue Tochtergesellschaft in den Niederlanden und ein verstärktes Engagement auf dem asiatischen Markt.

Wir werden auf der ITASEC nicht nur mit einem Stand vertreten sein, sondern uns auch inhaltlich einbringen: Dirk Boeing, Senior Consultant und Cybersicherheitsexperte bei Greenbone, spricht am 6.2. um 11:00 Uhr auf dem Panel „Security Management in the NIS2 Era“.

Besuchen Sie uns in Bologna!

Die alljährliche ITASEC findet auf dem Campus der „Alma Mater Studiorum Università di Bologna“ statt, der ältesten Universität Europas, die seit 1088 Wissenschaftsgeschichte schreibt – ein idealer Ort für eine Konferenz, die sich der Sicherheit in der digitalen Zukunft widmet. Organisiert wird die Messe vom CINI Cybersecurity National Lab, wobei 2025 ganz das Thema der Sicherheit und Rechte im Cyberspace im Vordergrund steht. Das zeigt sich auch in der Kooperation mit der SERICS-Konferenz (Security and Rights in the Cyber Space), die von der SERICS-Stiftung im Rahmen des knapp 200 Milliarden Euro schweren italienischen „National Recovery and Resilience Plan“ (NRRP) unterstützt wird.

Die ITASEC an der Universität Bologna bietet eine hervorragende Gelegenheit, Greenbone live zu erleben und mehr über unsere Lösungen zu erfahren. Und das ist erst der Anfang: 2025 sind wir in Italien beispielsweise am 5. und 6. März auf der CyberSec Italia in Rom. Und vom 18.3. bis 19.3. ist Greenbone auf dem Kongress „Digitaler Staat“ in Berlin, ab 19.3. auch auf der secIT in Hannover. Wir freuen uns auf Ihren Besuch!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Jetzt patchen! Cleo-Produkte werden aktiv für Ransomware-Angriffe ausgenutzt

Das Schlimmste, was es aus sicherheitstechnischer Sicht in der IT gibt, ist eine aktiv ausgenutzte RCE-Schwachstelle (Remote Code Execution) mit Systemprivilegien, die keine Benutzerinteraktion erfordert. Sicherheitslücken wie diese können Software betreffen, die in Fortune-500-Unternehmen weit verbreitet ist, und werden damit zu tickenden Zeitbomben. Wenn sich fortschrittliche, hartnäckige Bedrohungsakteure auf eine solche Schwachstelle oder CVE (Common Vulnerabilities and Exposures) stürzen, wird ihre Behebung zur Notfallmaßnahme. In jüngster Zeit erfüllte CVE-2024-50623 (jetzt auch als CVE-2024-55956 verfolgt), die mehr als 4.200 Benutzer der MFT-Software (Managed File Transfer) von Cleo betrifft, all diese Voraussetzungen für eine Katastrophe. Sie wurde zum wichtigen Momentum in Ransomware-Kampagnen, die mehrere Fortune-500-Unternehmen betreffen, welche jetzt im Rampenlicht der Berichterstattung über Cybersicherheit stehen.

Diese Cybersecurity-News gibt einen Überblick über die Ereignisse im Zusammenhang mit CVE-2024-50623 und CVE-2024-55956 sowie die damit verbundenen Ransomware-Kampagnen. Auch wenn Sie kein betroffenes Produkt verwenden, erhalten Sie hier wertvolle Einblicke in den Lebenszyklus von Schwachstellen und die Risiken der Software-Lieferketten von Drittanbietern. 

CVE-2024-50623 und CVE-2024-55956: Chronik der Ereignisse

Der Lebenszyklus von Sicherheitslücken ist komplex. In unserem früheren Artikel über das Schwachstellenmanagement der nächsten Generation finden Sie eine ausführliche Erklärung, wie dieser Prozess abläuft. In diesem Bericht stellen wir den Ablauf der Offenlegung und Behebung von CVE-2024-50623 und anschließend CVE-2024-55956 vor, als ein fehlgeschlagener Patch-Versuch des Softwareanbieters Cleo entdeckt und von Ransomware-Akteuren ausgenutzt wurde. Unser Greenbone Enterprise Feed enthält Erkennungsmodule für beide CVEs [1][2], die es Unternehmen ermöglichen, anfällige Systeme zu identifizieren und Notfallmaßnahmen zu ergreifen. Hier die zeitliche Abfolge der bisherigen Ereignisse:

  • Oktober 2024: CVE-2024-50623 (CVSS 10 Kritisch), das mehrere Cleo-MFT-Produkte betrifft, wurde vom Hersteller veröffentlicht, und eine gepatchte Version 5.8.0.21 wurde freigegeben.
  • November 2024: CVE-2024-50623 wurde zur Gewinnung von Daten genutzt und wirkte sich auf mindestens zehn Organisationen weltweit aus, darunter Blue Yonder, ein von Fortune-500-Unternehmen genutzter Lieferkettenmanagement-Service.
  • Dezember 2024: Sicherheitsforscher von Huntress identifizieren eine aktive Ausnutzung von CVE-2024-50623, mit der das ursprüngliche Patch (Version 5.8.0.21) umgangen werden kann.
  • Dezember 2024: Huntress beobachtet einen deutlichen Anstieg der Ausnutzung. Dies könnte darauf zurückzuführen sein, dass der Exploit-Code im Rahmen eines Malware-as-a-Service-Geschäftsmodells für Internetkriminalität verkauft wird, oder einfach darauf, dass die Angreifer ihre Aufklärungsarbeit abgeschlossen und eine breit angelegte Kampagne mit maximaler Wirkung gestartet haben.
  • Dezember 2024: Dem Softwarehersteller Cleo wird eine aktive Ausnutzung und ein PoC-Exploit-Code (Proof of Concept) gemeldet.
  • Dezember 2024: Der Hersteller Cleo gibt eine Erklärung ab, in der er einräumt, dass seine Produkte trotz Sicherheits-Patches ausnutzbar sind, und gibt zusätzliche Hinweise zur Schadensbegrenzung heraus.
  • Dezember 2024: Wachtowr Labs veröffentlichte einen detaillierten technischen Bericht, der beschreibt, wie CVE-2024-50623 eine RCE über Arbitrary File Write [CWE-434] ermöglicht. Cleo veröffentlicht eine Anleitung zur Schadensbegrenzung und aktualisiert und den Patch auf Version 5.8.0.24.
  • Dezember 2024: Ein neuer Name, CVE-2024-55956 (CVSS 10 Kritisch), wird für die Verfolgung dieser anhaltenden Schwachstelle herausgegeben, und die CISA (Cybersecurity & Infrastructure Security Agency) fügt die Schwachstelle ihrem KEV-Katalog (Known Exploited Vulnerabilities) hinzu, der die Verwendung in Ransomware-Angriffen kennzeichnet.

Cleo-Produkte für Ransomware-Attacken missbraucht

Die von CVE-2024-50623 und CVE-2024-55956 ausgehende Gefahr für das globale Business ist hoch. Diese beiden CVEs betreffen potenziell mehr als 4.200 Kunden von Cleo LexiCom, einem Desktop-basierten Client für die Kommunikation mit großen Handelsnetzen, Cleo VLTrader, einer auf mittlere Unternehmen zugeschnittenen Lösung auf Serverebene, und Cleo Harmony für große Unternehmen.

Die CVEs wurden kürzlich in einer Ransomware-Kampagne als erste Zugangsvektoren verwendet. Der Ransomware-Angriff von Termite zog im November 2024 auch Blue Yonder, eine Tochtergesellschaft von Panasonic, in Mitleidenschaft. Blue Yonder ist eine Plattform für das Lieferkettenmanagement, die von großen Technologie-Unternehmen wie Microsoft, Lenovo und Western Digital sowie von rund 3.000 anderen globalen Unternehmen aus vielen Branchen genutzt wird; Bayer, DHL und 7-Eleven, um nur einige zu nennen. Der Ausfall des von Blue Yonder gehosteten Dienstes führte bei StarBucks zu Unterbrechungen in der Gehaltsabrechnung. Zu den jüngsten erfolgreichen Ransomware-Angriffen hat sich auch die Ransomware-Gruppe Clop bekannt.

In der zweiten Phase einiger Einbrüche in IT-Systeme listeten die Angreifer Active Directory Domänen [DS0026] auf, installierten Web-Shells [T1505.003], um sich festzusetzen [TA0003], und versuchten, Daten aus dem Netzwerk des angegriffenen Systems herauszufiltern [TA0010], nachdem sie den ersten Zugriff via RCE erhalten hatten. Eine ausführliche technische Beschreibung der Architektur der Termite-Ransomware ist verfügbar.

Behandlung von CVE-2024-50623 und CVE-2024-55956

Instanzen von Cleo-Produkten der Version 5.8.0.21 sind immer noch anfällig für Cyberangriffe. Der neueste Patch, Version 5.8.0.24, ist erforderlich, um die Anfälligkeit zu verringern. Alle Benutzer werden dringend gebeten, die Aktualisierungen rasch durchzuführen. Zu den weiteren Schutzmaßnahmen und bewährten Praktiken gehören die Deaktivierung der Autorun-Funktionalität in Cleo-Produkten, das Entfernen des Zugriffs aus dem Internet oder die Verwendung von Firewall-Regeln, um den Zugriff nur auf autorisierte IP-Adressen zu beschränken, sowie das Blockieren der IP-Adressen der in die Angriffe verwickelten Endpunkte.

Zusammenfassung

Cleo Harmony, VLTrader und LexiCom vor Version 5.8.0.24 werden aufgrund von kritischen RCE-Schwachstellen (CVE-2024-50623 und CVE-2024-55956) aktiv ausgenutzt. Diese Schwachstellen waren der Einstiegspunkt für erfolgreiche Ransomware-Angriffe gegen mindestens zehn Organisationen, von denen Fortune-500-Unternehmen betroffen waren. Greenbone bietet eine Erkennung für die betroffenen Produkte an, und die Benutzer werden dringend gebeten, Patches und Strategien zur Schadensbegrenzung anzuwenden, da Angreifer diese Schwachstellen mit Sicherheit weiterhin ausnutzen werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone prüft CIS Google Chrome Benchmarks

Webbrowser sind ein primäres Einfallstor für Unternehmen und folglich auch oft das erste Einfallstor für Cyberangriffe. Mithilfe von Malware, die auf Browser abzielt, könnten Angreifer direkten, unbefugten Zugriff auf das Netzwerk und die Daten eines Zielsystems erlangen. Sie könnten aber auch menschliche Opfer mit Social Engineering dazu bringen, sensible Informationen preiszugeben, um ihnen unbefugten Zugriff, etwa auf Kontodaten, zu gewähren. Im Jahr 2024 wiesen die wichtigsten Browser (Chrome, Firefox und Safari) 59 Schwachstellen mit kritischem Schweregrad (CVSS3 ³ 9) und 256 mit hohem Schweregrad (CVSS3 zwischen 7,0 und 8,9) auf. Zehn CVEs (Common Vulnerabilities and Exposures) aus der Dreiergruppe wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity & Infrastructure Security Agency) aufgenommen. Browser-Sicherheit sollte daher für Sicherheitsteams oberste Priorität haben.

Vor diesem Hintergrund sind wir stolz, die Erweiterung unserer Compliance-Funktionen um CIS Google Chrome Benchmark v3.0.0 Level 1 bekannt zu geben. Mit dieser neuesten Funktion können unsere Enterprise-Feed-Abonnenten ihre Google Chrome-Konfigurationen anhand des branchenführenden Compliance-Frameworks des CIS (Center for Internet Security) überprüfen. Die neuen Google Chrome-Benchmark-Tests werden neben unseren anderen CIS-Kontrollen in kritischen Cybersicherheitsbereichen wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1] [2] eingesetzt.

CIS Google Chrome Benchmark für Windows

Der CIS Google Chrome Benchmark v3.0.0 Level 1 ist jetzt im Greenbone Enterprise Feed verfügbar. Er legt eine gehärtete Konfiguration für den Chrome-Browser fest. Werden die Kontrollen für Windows implementiert, müssen auch Windows-Registry-Schlüssel gesetzt sein, um die Sicherheitskonfiguration von Chrome zu definieren. Eine kontinuierliche Überprüfung ist wichtig, denn wenn der Chrome-Browser auf Benutzerebene verändert wird, wird er anfälliger für Datenlecks, Social-Engineering-Angriffe oder andere Angriffsvektoren.

Unser Enterprise Vulnerability Feed nutzt Compliance-Richtlinien, um Tests auf den Endgeräten durchzuführen und jede Anforderung des CIS-Benchmarks durch einen oder mehrere spezielle Schwachstellentests zu überprüfen. Diese Tests werden in Scankonfigurationen gruppiert, die zur Erstellung von Scan-Aufgaben verwendet werden können, die dann auf Zielsystem-Gruppen zugreifen, um deren Sicherheitsstatus zu überprüfen. Greenbone unterstützt Sie bei der Einhaltung interner Risikovorgaben oder behördlicher Richtlinien.

Warum ist Browser-Security so kritisch?

Ein Großteil der wichtigen Informationen, die in einem durchschnittlichen Unternehmen fließen, wird über den Browser übertragen. Durch die Zunahme von Außendienstmitarbeitern und Cloud-basierten Webanwendungen sind Webbrowser die wichtigste Schnittstelle für geschäftliche Aktivitäten geworden. Es überrascht nicht, dass Internet-Browser in den letzten Jahren zu einer Brutstätte für Angriffe geworden sind. Nationale Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3] [4], das amerikanische CISA [5] [6] und das kanadische Zentrum für Cybersicherheit [7] haben allesamt Empfehlungen zum Umgang mit den von Internetbrowsern ausgehenden Risiken veröffentlicht.

Browser können über technische Schwachstellen und Fehlkonfigurationen ausgenutzt werden, die zu Remote Code Execution (RCE), zum Diebstahl sensibler Daten und zur Übernahme von Konten führen können, sind aber auch ein Einfallstor für Social-Engineering-Angriffe. Die Browsersicherheit muss durch die Implementierung eines gehärteten Sicherheitsprofils, dessen kontinuierliche Überprüfung und durch regelmäßige Updates zur Behebung neu entdeckter Schwachstellen gewährleistet werden. Greenbone kann bekannte Schwachstellen für veröffentlichte CVEs in allen wichtigen Browsern aufspüren. Mit unserer neuesten CIS Google Chrome Benchmark-Zertifizierung sind wir nun in der Lage, die Konformität von Browsern mit Industriestandards zu bestätigen.

Wie der CIS Google Chrome Benchmark die Browsersicherheit verbessert

Jeder CIS-Benchmark wird im Rahmen eines Konsensprüfungsprozesses entwickelt, an dem eine globale Gemeinschaft von Fachexperten aus verschiedenen Bereichen wie Beratung, Softwareentwicklung, Audit, Compliance, Sicherheitsforschung, Betrieb, Regierung und Recht beteiligt ist. Dieser gemeinschaftliche Prozess soll sicherstellen, dass die Benchmarks praxisnah und datengestützt sind und reales Fachwissen widerspiegeln. Somit sind die CIS-Benchmarks ein wichtiger Bestandteil eines soliden Cybersicherheitsprogramms.

Im Allgemeinen konzentrieren sich die CIS-Benchmarks auf sichere technische Konfigurationen und sollten zusammen mit grundlegenden Cyberhygiene-Praktiken verwendet werden, wie z. B. der Überwachung und dem zeitnahen Patchen von Schwachstellen in Betriebssystemen, Anwendungen und Bibliotheken.

Der CIS Google Chrome Benchmark definiert Sicherheitskontrollen wie zum Beispiel:

  • Keine Domäne kann die Überprüfung auf gefährliche Ressourcen wie Phishing-Inhalte und Malware umgehen.
  • Strenge Überprüfung der von Websites ausgestellten SSL/TLS-Zertifikate.
  • Verringerung der allgemeinen Angriffsfläche von Chrome, indem sichergestellt wird, dass die neuesten Updates regelmäßig automatisch eingespielt werden.
  • Der Chrome-Browser ist so konfiguriert, dass er das Abfangen von DNS erkennt, was möglicherweise DNS-Hijacking ermöglichen könnte.
  • Chrome und Erweiterungen können nicht mit anderer Software von Drittanbietern interagieren.
  • Websites und Browser-Erweiterungen können keine Verbindungen mit Medien, dem lokalen Dateisystem oder externen Geräten wie Bluetooth, USB oder Media-Casting-Geräten missbrauchen.
  • Es können nur Erweiterungen aus dem Google Chrome Web Store installiert werden.
  • Alle vom Chrome-Hauptprozess abgezweigten Prozesse werden angehalten, sobald die Chrome-Anwendung geschlossen wurde.
  • SafeSites Inhaltsfilterung blockiert Links zu nicht jugendfreien Inhalten in den Suchergebnissen.
  • Verhindern Sie den Import unsicherer Daten, wie z. B. automatisch ausgefüllte Formulardaten, Standard-Homepage oder andere Konfigurationseinstellungen.
  • Sicherstellen, dass kritische Warnungen nicht unterdrückt werden können.

Greenbone ist Mitglied des CIS-Konsortiums

Als Mitglied des CIS-Konsortiums entwickeln wir unsere CIS Benchmark-Scan-Konfigurationen ständig weiter. Alle entsprechenden Richtlinien sind an den CIS-Härtungsrichtlinien ausgerichtet und von der CIS zertifiziert, um maximale Sicherheit für System-Audits zu gewährleisten. Darüber hinaus haben wir mit dem Greenbone Security Assistant (GSA) eine neue Konformitätsansicht hinzugefügt, die den Prozess für Unternehmen vereinfacht, die Schwachstellen in ihrer Infrastruktur beseitigen wollen, um Sicherheitsverletzungen zu verhindern.

Zusammenfassung

CIS-Kontrollen sind entscheidend für den Schutz von Systemen und Daten, da sie klare, umsetzbare Anleitungen für sichere Konfigurationen bieten. Der CIS Google Chrome Benchmark ist besonders auf Unternehmensebene wichtig, wo Browser viele Arten sensibler Daten beeinflussen. Greenbone erweitert die branchenführenden Fähigkeiten zur Erkennung von Schwachstellen um einen neuen Compliance-Scan: den CIS Google Chrome Benchmark v3.0.0 Level 1. Mit dieser Zertifizierung stärkt Greenbone die Position als zuverlässiger Verbündeter für proaktive Cybersicherheit. Die neuesten Funktionen spiegeln unser Engagement für die Förderung der IT-Sicherheit und den Schutz vor sich entwickelnden Cyber-Bedrohungen wider.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone Rückblick 2024: Ein spannendes Jahr mit starkem Wachstum

Auch im 16. Jahr seines Bestehens hat der Osnabrücker Experte und Marktführer im Open Source Vulnerability Management kräftig zugelegt: sowohl an Mitarbeitern, Kunden, Partnern und nicht zuletzt in diesem Blog.

Greenbone wächst weiter: In den letzten beiden Jahren konnten wir unsere Belegschaft fast verdoppeln, auf jetzt 143 Mitarbeiter, die meisten davon arbeiten remote. Natürlich brachte dieses Wachstum viel neuen, positiven Input mit sich, auch in diesem Blog, aber auch neue Strukturen – und Partys. Einen großen Schritt in der Weiterentwicklung unserer Führungskultur stellten dabei das neue People-Lead-Konzept, die „Development Talks“ mit „Cross Feedback“ und die Happiness-Erhebungen dar. Das gewachsene, weltweit verteilte Team traf sich auf diversen Veranstaltungen und besuchte zahlreiche Events zusammen. Greenbone wird weiterwachsen und ist ein moderner und beliebter Arbeitgeber. Haben Sie sich schon beworben?

Greenbone Threat Report

Es ist also kein Wunder, dass auch dieser Blog vom Wachstum profitiert und ein erfolgreiches neues Format eingeführt hat: Jeden Monat präsentiert Greenbone hier den Threat Report einen monatlichen Deep Dive in die Neuigkeiten und Schrecken des Schwachstellenmanagements, der Schadensbegrenzung und neuer Bedrohungen, die unserer Kunden (und alle, die sich für Sicherheit interessieren) auf dem Radar haben sollten. Die Serie begann im März 2024 und hat bisher zehn detaillierte Blogbeiträge hervorgebracht. Das letzte Update liegt hier.

Vom Aussterben bedroht: Ivanti, Fortinet, Exchange, Confluence…

Darüber hinaus konnten wir über mehrere kritische Schwachstellen berichten. Von Juniper und Ivanti bis Fortinet, von Problemen in Microsoft Exchange und Sharepoint bis zu Atlassians Wissensmanagement Confluence lieferten unsere Experten hilfreiche Einblicke für unsere Kunden.

Natürlich haben wir in unserem Blog über CrowdStrike berichtet und darüber, wie ein Sicherheitsanbieter in nur 62 Minuten zu einer massiven Bedrohung werden konnte. Wir informierten über die nicht enden wollenden Gefahren durch chinesische Hacker, DOS-Angriffe, automatisierte Massenangriffe und schwerwiegende SSH-Key-Probleme und brachten ausführliche Analysen und Beiträge, zum Beispiel zu den Kosten von Cyberangriffen.

Wachsende Herausforderungen: Cyberbedrohungen und neue Gesetze

In fünf Blogbeiträgen haben wir die Bedrohungslage und die spezifischen Sicherheitsrisiken in Branchen erläutert, die 2024 von Sicherheitslücken besonders stark betroffen waren: Der Mittelstand  investiert mehr in Sicherheit, Schulen in Helsinki wurden angegriffen, und natürlich sind die Netze der öffentlichen Verwaltung besonders bedroht, ebenso wie praktisch alles im Gesundheitswesen, sagt das BSI (Bundesamt für Sicherheit in der Informationstechnik). Vor allem die beiden letztgenannten Branchen, nicht nur unter unseren Kunden, werden auch von den vielen Beiträgen profitiert haben, die wir zu Regulierungen veröffentlicht haben, etwa zu CSAF (Common Security Advisory Framework) und, mit vielen Updates, zum langsamen und (in Deutschland) unterbrochenen Fortschritt von NIS2 (Network and Information Security).

Ganzjahresthema NIS2

Die NIS-Richtlinie in ihrer zweiten Auflage war und ist ein Thema, das Greenbone und unsere Kunden immer wieder beschäftigt hat. Seit die Europäische Union die zweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ NIS beschlossen hat, haben viele Mitgliedsstaaten Regelungen erlassen, die klarstellen, wie Unternehmen die Richtlinie umsetzen müssen. Nur in Deutschland hat das etwas länger gedauert und ist – bedingt durch den Sturz der Regierung Ende des Jahres – noch nicht abgeschlossen. Nichtsdestotrotz sind alle Informationen und Pläne verfügbar, es gibt sogar einen Test des BSI, mit dem Sie überprüfen können, ob Ihre Netzwerke betroffen sind und sofortige Maßnahmen erforderlich sind.

Greenbone in Grün: ISO 14001

Einen großen Erfolg konnte Greenbone 2024 mit der ISO 14001, einer Zertifizierung für Nachhaltigkeit erzielen. Unser CMO Elmar Geese teilte seine Gedanken über die Zukunft der Clouds und das Aufbrechen ihres Hype-Zyklus. Außerdem nahm er an einem Panel zum Thema Künstliche Intelligenz teil, was die Greenbone-Produkte neuerdings auch integrieren, ebenso wie die BSI-Grundschutz- und CIS-Richtlinien zum Schutz Ihrer Office-Software.

Neue Produkte: Major Release 24.10, Greenbone Basic, Feed-Updates

Aber 2024 bescherte auch viele Aktualisierungen und Neuigkeiten zu den Produkten: Das Schwachstellenmanagement von Greenbone erhielt mehrere Verbesserungen und Updates, mit einem neuen Video, das Schwachstellenmanagement in 11 Minuten erklärt. Im Juli erhielt unsere neue Scan-Engine Notus Unterstützung für Amazons Red-Hat-Linux-Variante, die Amazon Web Services dominiert. Später im Jahr 2024 kündigte Greenbone sowohl eine neue Major Version der Enterprise Appliance (24.10) als auch ein völlig neues Produkt an, das sich an kleine und mittlere Unternehmen richtet und „Greenbone Basic“ heißt. Bereit zum Ausprobieren?

Vielleicht möchten Sie aber auch lesen, wie Greenbone die Konkurrenz der Schwachstellen-Scanner in unserem Benchmark anführt oder herausfinden, was Ihre Key Performance Indicators für die Messung der Leistung Ihres Schwachstellen-Management-Produktes sind?

Kongresse und Events: Unsere Highlights des Jahres

Wenn Sie uns treffen wollen, finden Sie eine wachsende Anzahl von Gelegenheiten… weltweit, wie auch in unserem Blog gezeigt: Wir berichteten fast live von der anderen Seite des Globus, wo Greenbone auf der Singapore International Cyber Week vertreten war. Diese Konferenz war nicht nur eine der wichtigsten IT-Sicherheitsveranstaltungen in Asien, sondern auch eine in einer langen Liste von Geschäfts-Messen, an denen Greenbone teilnahm: Die Public IT Security (PITS) in Berlin, die it-sa in Nürnberg oder die Potsdamer Konferenz für Nationale Sicherheit, um nur einige zu nennen.

Vielen Dank und frohe Festtage!

Natürlich war auch unser 16. Jahr ein gutes Jahr, „ein sehr gutes Jahr“, und so möchten wir die Gelegenheit nutzen, um uns noch einmal bei allen Kunden, Partnern und der Community zu bedanken, denn ohne Ihre Hilfe wäre das alles nicht möglich gewesen.

Vielen Dank, frohe Festtage und ein gutes neues Jahr!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Dirk Boeing

Innovation trifft Resonanz: Greenbone erfolgreich auf der SICW

Die Singapore International Cyber Week (SICW) zählt zu den bedeutendsten Veranstaltungen zur Cybersicherheit weltweit. Wir konnten dort unsere Lösungen einem internationalen Publikum vorstellen – und stießen dabei auf großes Interesse, führten inspirierende Gespräche und erhielten wertvolles Feedback. Drei erfolgreiche Tage in Singapur und ein wichtiger Schritt, um unsere internationale Präsenz zu stärken!

Greenbone-Team und Partner beim gemeinsamen Gruppenfoto am Messestand auf der Singapore International Cyber Week 2024.

Seit ihrer Einführung bringt die SICW jährlich führende Unternehmen, Start-ups, Regierungsorganisationen und Sicherheitsbehörden aus der ganzen Welt zusammen. Ziel ist es, Wissen zu teilen, Partnerschaften zu fördern und innovative Lösungen zu präsentieren, die den wachsenden Herausforderungen im Bereich Cybersicherheit gerecht werden.  Die von der Cyber Security Agency of Singapore (CSA) organisierte Veranstaltung wurde 2016 ins Leben gerufen und findet seitdem jährlich in Singapur statt.

In diesem Jahr hatte Greenbone die Ehre, als Technologiepartner von Huawei auf der SICW vertreten zu sein. An drei spannenden Tagen präsentierten wir unsere Enterprise Appliances einem internationalen Publikum und waren begeistert von der Resonanz.

Großes Interesse an Greenbone-Lösungen 

Wir waren überwältigt vom positiven Feedback der Besucher zu unseren Lösungen – für uns ein starkes Zeichen, dass unsere Cybersicherheitslösungen auch für den asiatischen Markt sehr wichtig sind. Immer wieder haben wir in zahlreichen Gesprächen gemerkt, wie groß das Interesse an einem Schwachstellenscanner mit exzellentem Feed ist, der sich auf das Wesentliche konzentriert und gleichzeitig über seine API die Anbindung an andere Systeme erlaubt.

Prominente Besucher und inspirierende Gespräche 

Besonders gefreut hat uns, dass wir sogar prominente Persönlichkeiten am Stand begrüßen durften. Ein echtes Highlight war der Besuch von John Tan, Commissioner of Cybersecurity und Chief Executive der Cyber Security Agency of Singapore. Sein Interesse und die zahlreichen Gespräche mit potenziellen Kunden und Partnern haben uns darin bestärkt, in Asien weiter Fuß zu fassen.

Gespräch zwischen Standbesuchern vor dem Greenbone-Display mit Weltkarte und Produktinformationen auf der SICW 2024.

Nicht ganz unerwarteter Star unseres Auftritts war „das Beast“, unser Firmenlogo als Plüschtier. Es zauberte vielen Standbesuchern ein Lächeln ins Gesicht und diente oft als sympathischer Icebreaker, der den Einstieg in angeregte und wertvolle Gespräche erleichterte.

Fazit: Momentum für die Zukunft 

Die SICW war für Greenbone ein großer Erfolg. Wir konnten nicht nur unsere Lösungen einem breiten Publikum vorstellen, sondern auch wertvolle Verbindungen knüpfen und das Interesse am asiatischen Markt spürbar verstärken. Der große Zuspruch und die hohe Nachfrage nach unserem „Beast“ zeigt, dass unsere Marke auch emotional sehr gut ankommt – und wir freuen uns darauf, dieses Momentum weiter zu nutzen. 

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

CSAF 2.0: Stakeholder und Rollen

Das Common Security Advisory Framework (CSAF) reguliert die Bereitstellung von maschinenlesbaren Sicherheitshinweisen nach einem standardisierten Prozess, damit sie automatisiert ausgetauscht werden können. Greenbone arbeitet kontinuierlich an der Integration von Technologien, die den CSAF 2.0-Standard für die automatisierte Bereitstellung von Cybersecurity-Informationen nutzen. Eine Einführung in CSAF 2.0 und wie es das Schwachstellenmanagement der nächsten Generation unterstützt, finden Sie in einem früheren Blogbeitrag.

Zu Beginn des Jahres 2024 hat der Ausfall der NIST National Vulnerabilities Database (NVD) den Fluss kritischer Cybersicherheitsinformationen an nachgeschaltete Verbraucher unterbrochen. Dies macht das dezentralisierte CSAF 2.0-Modell zunehmend wichtiger für Cybersicherheitsinformationen, um die Widerstandsfähigkeit gegenüber einem einzelnen Ausfallpunkt zu erhöhen. Wer CSAF 2.0 einführt, kommt einem zuverlässigeren Ökosystem für Cybersicherheitsinformationen einen Schritt näher.

Inhaltsverzeichnis

1. Zusammenfassung
2. Wer sind die CSAF-Stakeholder?
2.1. Rollen im CSAF 2.0-Prozess
2.1.1. CSAF 2.0 Ausstellende Parteien
2.1.1.1. Die Rolle des CSAF-Publishers
2.1.1.2. Die Rolle des CSAF-Providers
2.1.1.3. Die Rolle des Trusted Providers in CSAF
2.1.2. CSAF 2.0 Datenaggregatoren
2.1.2.1. Die Rolle des CSAF-Listers
2.1.2.2. Die Rolle des CSAF-Aggregators
3. Fazit

1. Zusammenfassung

Dieser Artikel stellt die verschiedenen Akteure und Rollen dar, die in der CSAF-2.0-Spezifikation definiert sind. Die Rollen regeln die Mechanismen zur Erstellung, Verbreitung und Nutzung von Sicherheitshinweisen innerhalb des CSAF-2.0-Ökosystems. Das Verständnis, wer die Stakeholder von CSAF sind und welche standardisierten Rollen das CSAF 2.0-Framework definiert, hilft Security-Verantwortlichen klarer zu sehen, wie CSAF funktioniert, ob es für ihre Organisation von Nutzen sein kann und wie CSAF 2.0 zu implementieren ist.

2. Wer sind die CSAF-Stakeholder?

Auf höchster Ebene hat der CSAF-Prozess zwei primäre Stakeholder-Gruppen: vorgelagerte Produzenten, die Cybersicherheitshinweise im CSAF-2.0-Dokumentenformat erstellen und bereitstellen, und nachgelagerte Konsumenten (Endnutzer), die die Hinweise konsumieren und die darin enthaltenen Sicherheitsinformationen anwenden.

Bei den vorgelagerten Herstellern handelt es sich in der Regel um Anbieter von Softwareprodukten (wie Cisco, Red Hat und Oracle), die für die Aufrechterhaltung der Sicherheit ihrer digitalen Produkte und die Bereitstellung öffentlich zugänglicher Informationen über Schwachstellen verantwortlich sind. Zu den vorgelagerten Akteuren gehören auch unabhängige Sicherheitsforscher und öffentliche Einrichtungen, die als Quelle für Cybersicherheitsinformationen dienen, wie die US Cybersecurity Intelligence and Security Agency (CISA) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den nachgelagerten Verbrauchern gehören private Instanzen, die ihre eigene Cybersicherheit verwalten, staatliche CERT-Agenturen, die mit dem Schutz der nationalen IT-Infrastruktur betraut sind, und Managed Security Service Provider (MSSP), die die Cybersicherheit von Kunden überwachen und managen. Die in den CSAF 2.0-Dokumenten enthaltenen Informationen werden von IT-Sicherheitsteams genutzt, um Schwachstellen in ihrer Infrastruktur zu identifizieren und Abhilfemaßnahmen zu planen, und von Führungskräften, um zu beurteilen, wie IT-Risiken den Betrieb beeinträchtigen.

Schaubild zu den CSAF 2.0 Stakeholdern: Links die Upstream Producers wie Softwareanbieter, Behörden und Forscher, rechts die Downstream Consumers wie CERTs, SOC-Teams und Sicherheitsplattformen – verbunden durch das CSAF 2.0 Advisory Format.

Der CSAF-2.0-Standard definiert spezifische Rollen für vorgelagerte Hersteller, die ihre Beteiligung an der Erstellung und Verbreitung von Hinweis-Dokumenten beschreiben. Diese offiziell definierten Rollen sehen wie folgt aus:

2.1. Rollen im CSAF 2.0-Prozess

CSAF 2.0-Rollen werden in Abschnitt 7.2 definiert. Sie werden in zwei verschiedene Gruppen unterteilt: Ausstellende Parteien („Issuer“) und Datenaggregatoren („Aggregatoren“). Erstere sind direkt an der Erstellung von Beratungsdokumenten beteiligt. Letztere sammeln diese Dokumente und verteilen sie an die Endnutzer, um die Automatisierung für die Verbraucher zu unterstützen. Eine einzelne Organisation kann sowohl die Rolle des Ausstellers als auch die des Aggregators übernehmen, diese Funktionen sollten jedoch als separate Einheiten betrieben werden. Selbstverständlich müssen Organisationen, die als vorgelagerte Produzenten agieren, auch ihre eigene Cybersicherheit gewährleisten. Daher können sie auch nachgelagerte Verbraucher sein, die CSAF-2.0-Dokumente aufnehmen, um ihre eigenen Aktivitäten im Bereich des Schwachstellenmanagements zu unterstützen.

Diagramm der CSAF 2.0 Upstream-Rollen mit den Gruppen Issuing Parties (Producer, Provider, Trusted Provider) und Data Aggregators (Lister, Aggregator), die Cybersicherheitshinweise an Downstream Consumers weiterleiten.

Die spezifischen Verantwortlichkeiten der CSAF-2.0-Issuer und Datenaggregatoren stellen sich wie folgt dar:

2.1.1. CSAF 2.0 Ausstellende Parteien

Issuers sind die Quelle der CSAF-2.0-Cybersecurity-Hinweise. Sie sind jedoch nicht für die Übermittlung der Dokumente an die Endnutzer verantwortlich. Sie müssen angeben, wenn sie nicht wollen, dass ihre Hinweise von Datenaggregatoren aufgelistet oder gespiegelt werden. Außerdem können CSAF 2.0-Aussteller auch als Datenaggregatoren fungieren.

Hier sind die einzelnen Unterrollen innerhalb der Gruppe der ausstellenden Parteien:

2.1.1.1. Die Rolle des CSAF-Publishers

Publisher sind in der Regel Organisationen, die Hinweise nur im Namen ihrer eigenen digitalen Produkte entdecken und weitergeben. Sie müssen die Anforderungen 1 bis 4 in Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Dies bedeutet, dass sie strukturierte Dateien mit gültiger Syntax und Inhalten herausgeben, die den in Abschnitt 5.1 beschriebenen CSAF 2.0-Dateinamenskonventionen entsprechen, und sicherstellen, dass die Dateien nur über verschlüsselte TLS-Verbindungen verfügbar sind. Außerdem müssen sie alle als TLP:WHITE klassifizierten Hinweise öffentlich zugänglich machen.

Alle Publisher müssen über ein öffentlich zugängliches provider-metadata.json-Dokument verfügen, das grundlegende Informationen über die Organisation, ihren CSAF-2.0-Rollenstatus und Links zu einem öffentlichen OpenPGP-Schlüssel enthält, mit dem das provider-metadata.json-Dokument digital signiert wird, um seine Integrität zu verifizieren. Diese Informationen werden von Softwareanwendungen verwendet, die die Hinweise der Publisher für Endbenutzer anzeigen.

2.1.1.2. Die Rolle des CSAF-Providers

Provider stellen CSAF-2.0-Dokumente für die breitere Gemeinschaft zur Verfügung. Zusätzlich zur Erfüllung der gleichen Anforderungen wie ein Publisher muss ein Provider seine provider-metadata.json.-Datei nach einer standardisierten Methode bereitstellen (mindestens eine der Anforderungen 8 bis 10 aus Abschnitt 7.1), eine standardisierte Verteilung für seine Hinweise verwenden und technische Kontrollen implementieren, um den Zugang zu allen Hinweisdokumenten mit dem Status TLP:AMBER oder TLP:RED zu beschränken.

Provider müssen außerdem wählen, ob sie die Dokumente auf der Grundlage eines Verzeichnisses oder auf der Grundlage von ROLIE verteilen wollen. Einfach ausgedrückt, stellt die verzeichnisbasierte Verteilung Hinweisdokumente in einer normalen Verzeichnispfadstruktur zur Verfügung, während ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] ein RESTful-API-Protokoll ist, das speziell für die Automatisierung der Sicherheit, die Veröffentlichung, das Auffinden und die gemeinsame Nutzung von Informationen entwickelt wurde.

Verwendet ein Provider die ROLIE-basierte Verteilung, muss er auch die Anforderungen 15 bis 17 aus Abschnitt 7.1 erfüllen. Verwendet ein Provider die verzeichnisbasierte Verteilung, so muss er alternativ die Anforderungen 11 bis 14 aus Abschnitt 7.1 erfüllen.

2.1.1.3. Die Rolle des Trusted Providers in CSAF

Trusted Provider sind eine besondere Klasse von CSAF-Providern, die sich ein hohes Maß an Vertrauen und Zuverlässigkeit erworben haben. Sie müssen sich an strenge Sicherheits- und Qualitätsstandards halten, um die Integrität der von ihnen ausgestellten CSAF-Dokumente zu gewährleisten.

Zusätzlich zur Erfüllung aller Anforderungen an einen CSAF-Provider müssen Trusted Provider auch die Anforderungen 18 bis 20 aus Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Diese beinhalten die Bereitstellung eines sicheren kryptographischen Hashs und einer OpenPGP-Signaturdatei für jedes ausgegebene CSAF-Dokument und sie stellen sicher, dass der öffentliche Teil des OpenPGP-Signierschlüssels öffentlich zugänglich gemacht wird.

2.1.2. CSAF 2.0 Datenaggregatoren

Datenaggregatoren konzentrieren sich auf die Sammlung und Weiterverteilung von CSAF-Dokumenten. Sie fungieren als Verzeichnis für CSAF-2.0-Issuers und deren Hinweis-Dokumente sowie als Vermittler zwischen Issuers und Endanwendern. Eine einzelne Instanz kann sowohl als CSAF-Lister als auch als Aggregator fungieren. Datenaggregatoren können je nach den Bedürfnissen ihrer Kunden wählen, welche Hinweis-Dokumente von vorgelagerten Publishern sie auflisten oder sammeln und weiterverteilen.

Hier sind einzelne Unterrollen in der Gruppe der Datenaggregatoren:

2.1.2.1. Die Rolle des CSAF-Listers

Sogenannte „Lister“ sammeln CSAF-Dokumente von mehreren CSAF-Herausgebern und listen sie an einem zentralen Ort auf, um das Auffinden zu erleichtern. Der Zweck eines Listers ist es, als eine Art Verzeichnis für CSAF 2.0-Hinweise zu fungieren, indem URLs konsolidiert werden, unter denen CSAF-Dokumente abgerufen werden können. Es wird nicht davon ausgegangen, dass ein Lister einen vollständigen Satz aller CSAF-Dokumente enthält.

Lister müssen eine gültige aggregator.json-Datei veröffentlichen, die mindestens zwei separate CSAF-Anbieter auflistet. Während ein Lister auch als Issuer fungieren kann, darf er keine gespiegelten Dateien auflisten, die auf eine Domain unter seiner eigenen Kontrolle zeigen.

2.1.2.2. Die Rolle des CSAF-Aggregators

Die Rolle des CSAF-Aggregators stellt den letzten Wegpunkt zwischen den veröffentlichten CSAF-2.0-Hinweis-Dokumenten und dem Endanwender dar. Aggregatoren bieten einen Ort, an dem CSAF-Dokumente durch ein automatisiertes Tool abgerufen werden können. Obwohl Aggregatoren als konsolidierte Quelle für Cybersicherheitshinweise fungieren, vergleichbar mit NIST NVD oder CVE.org der MITRE Corporation, handelt es sich bei CSAF 2.0 um ein dezentralisiertes Modell, im Gegensatz zu einem zentralisierten Modell. Aggregatoren sind nicht verpflichtet, eine umfassende Liste von CSAF-Dokumenten von allen Herausgebern anzubieten. Außerdem können die Herausgeber ihren CSAF-Beratungsfeed kostenlos zur Verfügung stellen oder als kostenpflichtigen Dienst betreiben.

Ähnlich wie Lister müssen Aggregatoren eine aggregator.json-Datei öffentlich zugänglich machen, und CSAF-Dokumente von jedem gespiegelten Issuer müssen in einem separaten Ordner zusammen mit der provider-metadata.json des Issuers abgelegt werden. Im Wesentlichen müssen Aggregatoren die Anforderungen 1 bis 6 und 21 bis 23 aus Abschnitt 7.1 der CSAF-2.0-Spezifikation erfüllen.

CSAF-Aggregatoren sind auch dafür verantwortlich, sicherzustellen, dass jedes gespiegelte CSAF-Dokument eine gültige Signatur (Anforderung 19) und einen sicheren kryptografischen Hash (Anforderung 18) besitzt. Wenn die ausstellende Partei diese Dateien nicht zur Verfügung stellt, muss der Aggregator sie erzeugen.

3. Fazit

Das Verständnis der CSAF 2.0-Stakeholder und -Rollen ist entscheidend für die ordnungsgemäße Umsetzung von CSAF 2.0 und die Nutzung der automatisierten Erfassung und Nutzung wichtiger Cybersicherheitsinformationen. Die CSAF 2.0-Spezifikation definiert zwei Hauptinteressengruppen: vorgelagerte Produzenten, die für die Erstellung von Cybersicherheitshinweisen verantwortlich sind, und nachgelagerte Verbraucher, die diese Informationen zur Verbesserung der Sicherheit nutzen. Zu den Rollen innerhalb von CSAF 2.0 gehören Issuer (Herausgeber, Anbieter und vertrauenswürdige Anbieter), die Hinweise erstellen und verteilen, und Datenaggregatoren wie Lister und Aggregatoren, die diese Hinweise sammeln und an die Endnutzer weitergeben.

Die Mitglieder jeder Rolle müssen sich an bestimmte Sicherheitskontrollen halten, die die sichere Übertragung von CSAF 2.0-Dokumenten unterstützen. Das Traffic Light Protocol (TLP) regelt, wie Dokumente freigegeben werden dürfen und welche Zugriffskontrollen erforderlich sind.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Oktober 2024 Threat Report: Ransomware auf dem Vormarsch – Zeit zu reagieren

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für  „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

  • CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
  • CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
  • CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
  • CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
  • CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
  • CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
  • CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet.  EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

  • CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
  • CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

  • CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
  • CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
  • CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
  • CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
  • CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Stillstand verhindern: Greenbones Beitrag zum Schutz vor DoS-Angriffen

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören: 

  • Unkontrollierter Ressourcenverbrauch
  • Buffer overflows
  • Fehlende Speicherfreigabe
  • Unsachgemäße Fehlerbehandlung
  • Asymmetrischer Ressourcenverbrauch (Amplification)
  • Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

  • Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
  • DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
  • Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
  • Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
  • Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

… und Action! Greenbone auf der it-sa Expo&Congress

Kommende Woche startet die it-sa, eine der größten Plattformen für IT-Security-Lösungen. Unser CEO Dr. Jan-Oliver Wagner wird am Eröffnungstag, dem 22. Oktober 2024, ab 11:00 Uhr zeigen, wie Unternehmen dauerhaft und in Krisensituationen handlungsfähig bleiben können. Unter dem Titel  „Sicher sein und sicher bleiben“ weist er im Forum 6-B Wege aus der wachsenden Bedrohungslage durch Cyberrisiken. Nicht umsonst aber heißt der Überblick über die Möglichkeiten und Potenziale von Schwachstellenmanagement nicht „Vortrag“, sondern „Action“: Handeln ist gefragt!

Werden Sie aktiv!

In Zeiten, in denen Ransomware-Banden mehrstellige Millionenbeträge zu erpressen versuchen, gilt es für Unternehmen und Organisationen, möglichst frühzeitig für die Sicherheit der IT-Systeme mit ihren Daten und Kommunikationswegen tätig zu werden. Jede Investition in die eigene Cybersicherheit macht sich um ein Vielfaches bezahlt, vergleicht man die Anschaffungskosten einer entsprechenden proaktiven Lösung mit den Kosten, die durch den Schaden entstehen – und die mit dem Zahlen von Lösegeldern bei Weitem nicht abgegolten sind. Wie bei jeder Rechnung mit Zins und Zinseszins: Je früher die Investition begonnen wird, desto mehr zahlt sie sich aus.

Die Lösungen von Greenbone setzen am frühestmöglichen Zeitpunkt der Entstehungsgeschichte von Cyberrisiken an: Dem Auffinden von Sicherheitslücken in der eigenen IT-Infrastruktur. So geht das Schwachstellenmanagement Hand in Hand mit einer fundierten Security-Strategie, in deren Rahmen kontinuierlich Sicherheitsdaten bereitgestellt, Systeme überwacht und Ergebnisse verglichen und ausgewertet werden.

Wissensvorsprung verschaffen

Weil Kriminelle ihre Angriffe auf die Netzwerke ihrer Opfer so einfach und so flächendeckend wie möglich gestalten, um ihre Gewinne zu maximieren, sollten IT-Verantwortliche es ihnen hierbei so schwer wie möglich machen. Schwachstellenmanagement bietet Unternehmen einen entscheidenden Vorsprung im Wettlauf mit potenziellen Angreifern. Sicherheitslücken werden zwar häufig schon vor ihrer öffentlichen Bekanntgabe ausgenutzt, sind sie aber erst einmal offiziell bekannt, kommt der Wettlauf zwischen Angreifer und Angegriffenem in die heiße Phase: Angriffsvektoren sollten jetzt schneller geschlossen werden, als Cyberkriminelle sie ausnutzen können.

Risiken managen

Damit das Sicherheitsrisiko gar nicht so weit eskaliert, greifen die Lösungen von Greenbone auf mittlerweile über 180.000 automatisierte Schwachstellentests zu. Sie reduzieren damit die potenzielle Angriffsfläche um 99 Prozent im Vergleich zu Unternehmen, die kein Vulnerability Management einsetzen. Diese immensen Möglichkeiten der Risikominimierung setzen ein umsichtiges Security-Management voraus. Denn je mehr Schwachstellen offengelegt werden, desto drängender wird die Frage, welche Aktionen zuerst eingeleitet werden müssen. Welche IT-Systeme brauchen Soforthilfe? Welche Assets und Interaktionspfade im Unternehmen sind besonders kritisch und durch welche Sicherheitsmaßnahmen zu bevorzugen?

Nur wer plausible Antworten auf diese Fragen hat, wird das Gesamtrisiko für Cyberangriffe auch dauerhaft so gering wie möglich halten können. Welche Prioritäten gesetzt werden sollten und wie eine entsprechende „Triage“ unter Daten und Systemen im operativen Alltag praktiziert werden kann, wird Jan-Oliver Wagner auf der it-sa in der Action „Sicher sein und sicher bleiben“ zeigen. Seien Sie dabei!

Besuchen Sie uns auf unserem Stand 6-346 oder vereinbaren Sie gleich einen Termin und sichern Sie sich Ihr Gratis-Ticket zur Messe. Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

NIS2-Umsetzungsgesetz lässt auf sich warten: Zeit zum Handeln

Auch wenn die Bundesregierung es wohl nicht geschafft hat, die notwendigen Umsetzungen der NIS2-Richtlinie fristgerecht auf den Weg zu bringen, sollten Unternehmen und Behörden nicht nachlassen. NIS2 kommt, zwar nicht wie geplant noch im Oktober, sondern erst im Frühjahr 2025, doch die Kerninhalte bleiben gleich. Ganz unabhängig vom schlussendlichen Termin gehört professionelles Schwachstellenmanagement wie das von Greenbone zwingend dazu.

Eigentlich hatten alle von NIS2 betroffenen Unternehmen und Organisationen schon acht Jahre Zeit, um sich einzuarbeiten und angemessene Maßnahmen zu treffen. Wer seine Hausaufgaben gemacht hat, wird bemerkt haben: Zwar kommt da viel Arbeit auf Firmen zu, vor allem auf Betreiber kritischer Infrastrukturen, aber das meiste ist doch überaus klar und wohldefiniert. Aber dass die NIS2-Umsetzung und -Einführung dennoch nicht immer einfach ist, zeigt derzeit der Deutsche Bundestag exemplarisch.

Acht Jahre verstrichen, Startschuss verpasst

Theoretisch wäre Ende Oktober der Startschuss für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) gefallen, doch aus dem von der EU auch für Deutschland verordneten Termin vom 17.10.2024 wird nichts. Die Referentenentwürfe von 2023 und 2024 fanden keine Mehrheit, selbst das Innenministerium ist skeptisch und „rechnet nicht mit einer fristgerechten Einführung der NIS2-Richtlinie“. Das geht aus einer Antwort des Ministeriums auf eine Anfrage des BVMW (Bundesverband mittelständische Wirtschaft – Unternehmerverband Deutschlands) hervor. „Wann die NIS2-Richtlinie kommt, die für den 17. Oktober 2024 geplant war, ist offenbar völlig unklar. In der Antwort des Innenministeriums heißt es lediglich, dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei.“

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Dabei ergibt NIS2 durchaus Sinn und trifft auf hohe Akzeptanz, vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese selbst zugeben müssen, noch nicht perfekt vorbereitet zu sein. 38 Prozent halten NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen. 34 Prozent der Unternehmen werden zukünftig in Schwachstellenmanagement investieren. Diese Zahlen stammen aus einer aktuellen, umfangreichen Studie von techconsult im Auftrag von Plusnet, die auch den Sinn und Zweck von NIS2 zusammenfasst: „Unternehmen und Organisationen werden angewiesen, robuste Sicherheitsmaßnahmen zu implementieren, regelmäßige Risikoanalysen durchzuführen und angemessene Schutzmechanismen gegen Cyberangriffe einzurichten. Eine erhöhte Transparenz und Reaktionsfähigkeit sollen dazu beitragen, Bedrohungen schneller zu identifizieren und einzudämmen.“

Top-Investitionsfelder von Unternehmen im Bereich Cybersicherheit: Sicherheits­schulungen (45 %), ISO-Zertifikate (44 %), Awareness-Trainings (42 %), sichere Kommunikation, EDR, SIEM, KI-Lösungen, automatisierte Schwachstellenscans (je 34 %).

Quelle: „NIS2 Readiness in deutschen Unternehmen“ techconsult GmbH/ Plusnet, 2024

Unternehmen und Organisationen werden so verpflichtet, Sicherheitsvorfälle innerhalb von 24-Stunden-Fristen zu melden. KRITIS-Betreiber setzen schon lange auf Systeme zur Angriffserkennung. Vor allem die schon von NIS1 betroffenen Unternehmen (55 %) setzen auf modernste Formen der Cyberabwehr – gegenüber Firmen, die durch NIS2 neu hinzukommen (44 %). Nachlassen sollten CISOs dennoch nicht, es gibt noch viel zu tun: Die von NIS1 betroffenen Unternehmen rangieren laut Studie, auch um zehn Prozent höher als die erweiterten NIS2-Sektoren, „unter anderem bei der Intrusion Detection & Prevention und automatisierten Schwachstellen-Scans“.

51 Prozent aller befragten Unternehmen und Organisationen verwenden SIEM-Lösungen (Security Information and Event Management), um Bedrohungen, Muster und Anomalien in großen Datenmengen frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.

„Diese Fähigkeit ist in Zeiten, in denen Cyberangriffe immer raffinierter werden, besonders wertvoll“, schreiben die Autoren der Studie. Dazu kommen Systemmonitoring, Logging und Reporting sowie Data Loss Prevention.

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

84 Prozent der Unternehmen und Organisationen werden ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent, größere Unternehmen sogar bis zu zwölf Prozent. Erst 29 Prozent haben Sicherheitsmaßnahmen voll umgesetzt, weitere 32 Prozent teilweise. Hauptgründe dafür sind der Fachkräftemangel, mangelndes Bewusstsein (Awareness) bei den eigenen Mitarbeitern, aber auch der Zeitplan, also die gebotene Eile.

Gleichwohl betrachten die Firmen die anstehende Umsetzung der NIS2-Richtlinie nicht nur als Kostenfaktor und Belastung, sondern auch als Chance, „die eigene Cyberresilienz zu stärken, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu gewinnen“.

Kontrastprogramm: Verzögerungen in der Politik

Wer aber die jüngsten Debatten in der Politik und die Analysen von Institutionen wie dem Bundesrechnungshof und Manuel Atug (Sprecher der AG KRITIS) verfolgt, der bekommt schnell den Eindruck, dass auf staatlicher Seite gerade Vertrauen verspielt wird. Sogar der Bundesrechnungshof kritisiert die geplanten Ausnahmen von der NIS2-Regelung für Behörden. Er fordere daher, so das Nachrichtenmagazin heise, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. „Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.“

Trotz aller Streitpunkte winkt der Bundesrat Ende September eine Vorlage einfach durch, in „einer Minute und einer Sekunde“, wie Atug süffisant bemerkt. Wirkungslos ist das jedoch nicht, beispielsweise im Gesundheitswesen. Da könnten „künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlagen werden“. Aber auch andere große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin könnten so als wichtige Einrichtungen relevant werden und unter die NIS2-Regeln fallen.

Verbrannte Erde, verlorene Zeit?

Es macht es nicht leichter, dass für Krankenhäuser auch noch besondere Übergangsfristen gelten. § 108 SGB V schreibt hier fünf Jahre vor, nun hat man eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. „Erste Nachweise kommen damit erst frühestens 2030“, zeigt sich Atug enttäuscht. Seine Kritik: „Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.“ Die vielen Ausnahmen und das Verschweigen bekannter Defizite drohen hier, einen Flickenteppich von Ausnahmen zu schaffen, der niemandem helfe.

Warum Unternehmen jetzt investieren müssen

Die Studie von Plusnet zeigt klar: Das Bewusstsein in betroffenen Betrieben ist da, die Investitionsbereitschaft ebenso. Der Bundesrechnungshof und die AG KRITIS haben nachhaltig und laut bekundet, wie wichtig aktives Handeln jetzt ist – und ebenso laut ihrer Enttäuschung Ausdruck verliehen, dass gerade die Politik da nicht handelt, zumindest nicht angemessen. Unternehmen und Organisationen hingegen sind keineswegs die Hände gebunden: Was kommt, ist klar, auch hier im Greenbone Blog haben wir immer wieder darauf hingewiesen.

Spätestens nächstes Jahr werden viele Aspekte der IT-Security neu aufgerollt, und Schwachstellenmanagement wie Greenbones Enterprise Produkte spielen dabei eine wichtige Rolle.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von