Schlagwortarchiv für: it security

Jan-Oliver Wagner

Aktive und passive Schwachstellenscans – den Cyber-Kriminellen einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT immer stärker zusammen. Wo früher eine Sicherheitslücke „nur“ ein Datenleck verursacht hat, kann heute die gesamte Produktion zusammenbrechen. Wer regelmäßige aktive und passive Schwachstellenscans durchführt, kann sich schützen.

Was bei der physischen Infrastruktur etwas befremdlich wirkt – wer stellt schon einen Einbruch nach, um seine Alarmanlage zu testen – ist in der IT ein probates Verfahren, um Schwachstellen zu identifizieren. Dieses sogenannte aktive Scanning kann täglich und automatisch durchgeführt werden. Passives Scanning hingegen erkennt einen laufenden Einbruch, denn auch jeder Cyber-Einbruch hinterlässt Spuren, wenn auch oft verdeckt.

Den Verkehr kontrollieren

Firewalls und Antivirus-Programme nutzen beispielsweise passive Scans und überprüfen so den Traffic, der ein System erreicht. Diese Daten werden dann mit einer Datenbank abgeglichen. Dort sind Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt. Wenn die Firewall etwa eine Anfrage von einem unsicheren Sender bekommt, der Profildaten von Nutzenden auslesen will, lehnt sie die Anfrage ab. Das System selbst bekommt davon nichts mit, denn der passive Scan greift nicht auf das System zu, sondern nur auf den Datenverkehr.

Der Vorteil dabei: Das System muss keine zusätzliche Rechenleistung aufwenden. Trotz der Überprüfung kann die volle Bandbreite genutzt werden. Das ist vor allem bei kritischen Komponenten sinnvoll. Sie sollen eine möglichst hohe Verfügbarkeit aufweisen. Je weniger Zusatztätigkeiten sie ausführen, desto besser.

Der Nachteil des passiven Scannings: Nur Systeme, die selbst aktiv kommunizieren, kann man auch sehen. Nicht dazu gehört beispielsweise Büro-Software oder PDF-Reader. Aber auch Dienste, die kommunizieren, tun das vor allem mit ihren Hauptfunktionen. Funktionen mit Schwachstellen, die selten oder gar nicht im Regiebetrieb genutzt werden, sind nicht sichtbar oder eben erst dann, wenn der Angriff bereits läuft.

Die Infrastruktur überprüfen

Aktive Scans arbeiten anders und simulieren Angriffe. Sie stellen Anfragen an das System und versuchen dadurch, unterschiedliche Reaktionen auszulösen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

Unterschiede zwischen aktiven und passiven Schwachstellenscans

Links: Beim aktiven Scan werden Anfragen an das System gesendet und dadurch versucht, unterschiedliche Reaktionen auszulösen. Rechts: Passive Scans überprüfen den Traffic, der ein System erreicht und gleichen diese Daten mit einer Datenbank ab.

Der Vorteil: Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da die Interaktion direkt mit der Software und den Schnittstellen stattfindet, können Probleme in Programmen erkannt werden, die normalerweise nicht direkt mit dem Netz kommunizieren. Auf diese Weise werden auch Schwachstellen in Programmen wie Office-Anwendungen entdeckt.

Bei der direkten Interaktion müssen Systeme allerdings Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Hier empfiehlt sich zum Beispiel Scannen unter Aufsicht und als Ergänzung kontinuierliches passives Scannen.

Aktiv scannen, aber minimalinvasiv

Trotzdem sind aktive Scans für die betriebliche Cyber-Sicherheit essenziell. Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein im Vergleich zu einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern. So lassen sich die Schwachstellen, die erkannt werden, etwa in die Datenbanken von Firewalls aufnehmen. Das hilft auch anderen Unternehmen, die ähnliche Systeme nutzen.

Aktives und passives Scannen arbeiten Hand in Hand

Da der passive Scanner dem aktiven Scanner auch hilfreiche Informationen wie beispielsweise zu Mobiltelefonen oder Eigenschaften zu Netzwerk-Diensten geben kann, kann man von einer komplementären Ergänzung dieser beiden Sicherheitstools sprechen. Beiden ist gemein, dass sie aus der gegebenen Situation im Netzwerk automatisch immer das Beste herausholen. Für die Techniken des passiven und aktiven Scannens ist es egal, aus welchen oder wie vielen Komponenten und Programmen das Netzwerk besteht. Beide Sicherheitstechnologien erkennen dies von selbst und stellen sich darauf ein. Erst mit einem höheren Sicherheitsgrad beginnt die optimierte Abstimmung von Netzwerk und Scannern.

Es ist also keine Frage, ob man das eine oder das andere anwenden sollte. Beide Verfahren sind notwendig, um eine sichere Netzwerkumgebung zu gewährleisten. Ein rein passiver Ansatz wird in vielen Fällen nicht helfen. Ein proaktives Schwachstellenmanagement benötigt aktive Scans und Tools, um diese zu verwalten. Das ist es, was Greenbones Schwachstellenmanagement-Produkte bieten.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Supply Chains in Open-Source-Software

Open Source ist bei der überwiegenden Mehrheit der Firmen, Softwarehersteller und -anbieter unaufhörlich auf dem Vormarsch. Mit diesem Siegeszug steigt aber auch die Bedeutung der Überwachung der Supply Chain, also der „Lieferkette“ der eingesetzten Software, die Dritte gemäß den Open-Source-Traditionen entwickelt haben. Doch nicht jeder, der Open-Source-Software benutzt, beachtet dabei alle bewährten Regeln. Greenbone kann helfen, solchen Fehlern auf die Schliche zu kommen. Dieser Blogpost erklärt das Problem und wie es sich vermeiden lässt.

Supply Chains in Open-Source-Software

 

Schwachstellen in Log4j, Docker oder NPM

Ende 2021 schlug das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen einer aus der Ferne ausnutzbaren Schwachstelle in der Logging-Bibliothek Log4j offiziell Alarm – sogar die Tagesschau berichtete. Prompt meldeten sich damals die Kritiker von Open-Source-Software zu Wort: Quelloffene Software wie Log4j sei implizit unsicher und in der Supply Chain anderer Programme ein praktisch unkalkulierbares Risiko.

Zwar hatten die Open-Source-Entwickelnden selbst das Problem binnen weniger Stunden gefixt, dennoch schlummern in zahllosen kommerziellen Produkten noch heute veraltete Versionen von Log4j – ohne Chance darauf, jemals ausgetauscht zu werden. Das ist kein Einzelfall: kürzlich sorgte die Geschichte eines Entwicklers für NPM (Node Package Manager, ein Softwarepaket-Format für den Webserver Node.js) für Aufsehen, der mit seinem eigentlich gut gemeinten Protest gegen den Krieg in der Ukraine das Vertrauen in die Open-Source-Supply-Chain und die Entwicklungsgemeinschaft massiv erschütterte.

Open Source in der Kritik

Es war nicht das erste Mal, dass NPM zum Ziel wurde. Schon Ende 2021 war der Paketmanager von Angriffen betroffen. Damals veröffentlichte der Entwickler Oleg Drapeza einen Fehlerbericht bei GitHub, nachdem er bösartigen Code zum Abfischen von Passwörtern in der Bibliothek UAParser.js gefunden hatte. Stück für Stück konnte der ursprüngliche Autor der Software, Faisal Salman, rekonstruieren, dass sich jemand in seinen Account im Paketsystem von NPM gehackt und dort Schadcode hinterlegt hatte. Das Problem: UAParser.js ist ein Modul für Node.js und kommt in Millionen von Setups weltweit zum Einsatz. Entsprechend gewaltig war der Kreis der betroffenen Nutzenden.

Wieder hieß es seitens der Open-Source-Kritischen, quelloffene Software wie UAParser.js sei implizit unsicher und in der Supply Chain anderer Programme ein praktisch unkalkulierbares Risiko. Mehr noch: Open-Source-Entwickelnde, so der explizit vorgetragene Vorwurf, bänden externe Komponenten wie Bibliotheken oder Container-Images viel zu unvorsichtig ein und verschwendeten kaum einen Gedanken an die damit verbundenen Sicherheitsimplikationen. Aus diesem Grund sei ihr Werk latent anfällig für Sicherheitsangriffe, vor allem eben in der Open-Source-Supply-Chain. Alyssa Shames diskutiert auf docker.com das Problem am Beispiel von Containern und schildert dabei ausführlich die Gefahren.

Die Schattenseiten des Basars

Tatsächlich haben DevOps und Cloud Native die Arbeitsweise in der Entwicklung in den vergangenen Jahren stark beeinflusst. In der Community existierende Komponenten in die eigene Anwendung einzubinden statt vergleichbare Funktionalität selber neu zu programmieren ist dabei Teil des Selbstverständnisses der gesamten Open-Source-Szene. Diese Community und ihr Angebot lassen sich mit einem Basar vergleichen, mit allen Vor- und Nachteilen. Viele Entwickelnde stellen ihre Programme gerade deshalb unter eine offene Lizenz, weil sie die Beiträge der anderen „Basarbesuchenden“ schätzen. Auf diese Weise können andere, die ähnliche Probleme haben, profitieren – unter denselben Bedingungen – und müssen das Rad nicht neu erfinden. Galt das früher mehr oder weniger nur für einzelne Bestandteile von Software, haben Cloud und Container dazu geführt, dass Entwickelnde inzwischen nicht mehr nur einzelne Komponenten übernehmen, sondern gleich ganze Images. Dabei handelt es sich um Softwarepakete, eventuell sogar inklusive Betriebssystem, die auf der eigenen Infrastruktur dann schlimmstenfalls ungeprüft starten.

Ein wachsendes Risiko?

In der Tat ist der mögliche Angriffsvektor dabei deutlich größer als zuvor und wird aktiv ausgenutzt. Laut Dev-Insider beispielsweise ist im vergangenen Jahr „die Zahl der Angriffe auf Open-Source-Komponenten […] von Software-Lieferketten laut einer Studie des Anbieters Sonatype […] um 430 Prozent gestiegen.“ Das bestätigt auch der Risiko-Analyse-Bericht von Synopsis, der zudem feststellt, „dass kommerzieller Code heute hauptsächlich aus Open-Source-Software besteht.“ Schon 2020 berichtete der Cloud-Native-Experte Aquasec auf seinem Blog von Angriffen auf die Docker-API, über die Cyber-Kriminelle Cryptomining in Docker-Images betrieben.

Allerdings sind Entwickelnde, die auf Open-Source-Komponenten zurückgreifen oder aus der Open-Source-Community stammen, nicht annähernd so unaufmerksam, wie es solche Meldungen suggerieren. Anders etwa als in proprietären Produkten, in denen lediglich die Mitarbeitenden eines Unternehmens den Code im Auge haben können, schauen in Open-Source-Projekten viele Menschen auf den verwalteten Quelltext. Dass dabei regelmäßig auch Sicherheitslücken wie im Fall von Log4j, Docker oder NPM ans Tageslicht kommen, liegt auf der Hand. Hier beweist die Open-Source-Szene dass sie gut funktioniert, nicht etwa dass ihre Software grundsätzlich unsicher(er) wäre.

Nicht schutzlos ausgeliefert

Ein großes Problem ist dagegen – unabhängig, ob Open-Source- oder proprietäre Software – die mangelnde Weitsicht bei der Update- und Patch-Strategie mancher Anbieter. Nur deshalb finden sich vielerorts Geräte mit veralteten, oft angreifbaren Softwareversionen, die als Scheunentor für Angreifende dienen können. Die Greenbone Enterprise Appliance, die professionelle Produktlinie von Greenbone, hilft dabei, solche Lücken zu finden und sie zu schließen.

Hinzu kommt, dass komplexe Sicherheitslecks wie die oben beschriebenen in Log4j oder UAParser.js eher die Ausnahme als die Regel darstellen. Die meisten Angriffe erfolgen mit deutlich simpleren Methoden: In den fertigen Images für Docker-Container im Docker Hub etwa findet sich regelmäßig Malware, die aus einer Datenbank den oben beschriebenen Bitcoin-Miner macht. Auch diesem Treiben stehen Entwickelnde, die Open-Source-Komponenten integrieren, jedoch keineswegs schutzlos gegenüber. Längst gibt es Standards, die Angriffe der beschriebenen Art verhindern, beispielsweise fertige Container-Images nur direkt beim Hersteller einer Lösung zu beziehen oder sie besser gleich per CI/CD-Pipeline selbst zu bauen. Ganz grundsätzlich steht Entwickelnden obendrein ein gesundes Misstrauen gut zu Gesicht, etwa wenn Software aus einer Quelle kommt, die erkennbar nicht jene des Herstellers ist.

Supply-Chain-Überwachung bei Greenbone

Dass Open-Source-Software im eigenen Programm kein unkalkulierbares Risiko ist, zeigt Greenbone in seinen Produkten, den Greenbone Enterprise Appliances. Im Unternehmen gelten eine Reihe von Richtlinien, die das Thema Supply Chain in der Softwareentwicklung in den gesamten Entwicklungszyklus einbinden. Neben umfangreichen Funktionstests unterzieht Greenbone seine Produkte dabei beispielsweise automatisierten Tests mit gängigen Sicherheitswerkzeugen. Wer bei Greenbone kauft, verlässt sich zu Recht auf das starke Gespann aus Open-Source-Transparenz und sorgfältigster Qualitätssicherung des Herstellers, ein Aufwand den sich nicht generell alle Open-Source-Projekte leisten können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Greenbone erweitert Compliance-Richtlinien für CIS Benchmarks

Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux: Ein Jahr nach Einführung bringt Greenbone zahlreiche neue Compliance-Richtlinien für CIS Benchmarks in seinen Produkten. CIS Benchmarks werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Softwareprodukte, Anwendungen, Betriebssysteme und andere Komponenten sichere Vorgaben erfüllen. Ähnlich dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt das Center for Internet Security (CIS), eine im Jahr 2000 gegründete Non-Profit-Organisation, umfangreiche Best Practices für die IT-Sicherheit von Regierungen, Industrie und Wissenschaft bereit. Schon 2021 entwickelte Greenbone erste Compliance-Richtlinien für CIS Benchmarks. Nun kommen 18 weitere Compliance-Richtlinien hinzu.

Compliance-Richtlinien für CIS Benchmarks

Benchmarks für die Unternehmenssicherheit

Die CIS Benchmarks bilden Richtlinien von Unternehmen und Behörden ab, die als Messlatte (Benchmark) für das Einhalten von Anforderungen dienen. Ausführlich beschreiben die Benchmarks Konfigurationen, Bedingungen, Audits und Tests für diverse Setups und Systeme. Nach erfolgreichem Scan erhalten IT-Admins einen umfangreichen Bericht mit einer Prozentzahl, die Aufschluss über die Compliance der Systeme, aber auch gleich Empfehlungen für weitere Härtungsmaßnamen liefert.

Im Vergleich zu den Vorgaben des IT-Grundschutz erweisen sich CIS Benchmarks häufig als deutlich detaillierter, damit aber auch als umfangreicher. Anders als die vielen Tests im Greenbone Enterprise Feed, die Sicherheitslücken und Schwachstellen suchen, um bei der Abwehr von Angriffen zu helfen, dienen die CIS Benchmarks dem Nachweis, dass ein Unternehmen oder eine Behörde die geltenden Compliance-Vorschriften zu jedem Zeitpunkt einhält und stets eingehalten hat.

CIS Benchmarks bei Greenbone

Bereits seit 2021 integriert Greenbone zahlreiche Compliance-Richtlinien für CIS Benchmarks. Bei diesen Richtlinien handelt es sich um Zusammenstellungen an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Vereinfacht gesagt wird dabei für jede einzelne Anforderung oder Empfehlung aus einer CIS Benchmark ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Enterprise Feed hinzugefügt. Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

2022 baut Greenbone den Satz an CIS-Compliance-Richtlinien, der im Greenbone Enterprise Feed enthalten ist, deutlich aus. 18 weitere Compliance-Richtlinien für CIS Benchmarks für diverse Produktfamilien wurden hinzugefügt. Neben einer Compliance-Richtlinie für Docker-Container stehen jetzt auch Tests für Windows 10 Enterprise, Windows 2019 Server, Centos und distributionsunabhängige Linux-Benchmarks zur Verfügung. Außerdem können jetzt auch Webmaster mit Servern wie Apache (2.2 und 2.4), NGINX, Tomcat und Microsoft IIS 10 sowie Datenbankadministrationen (MongoDB 3.2 und 3.6, Oracle Community Server 5.6 und 5.7 sowie PostgreSQL 9.6, 10, 11 und 12) auf Compliance-Richtlinien für CIS Benchmarks zurückgreifen.

CIS Benchmarks: Level 1, 2 und STIG

Die CIS Benchmarks gliedern sich in mehrere Level (Level 1, 2 und STIG) und umfassen meist mehrere zu testende Konfigurationsprofile. Level 1 gibt grundlegende Empfehlungen zur Verringerung der Angriffsfläche eines Unternehmens, Level 2 adressiert Nutzende mit besonderen Sicherheitsbedürfnissen. STIG – das ehemalige Level 3 – kommt dagegen vor allem im militärischen oder behördlichen Umfeld zum Einsatz. STIG steht für Security Technical Implementation Guide. Das US-amerikanische Verteidigungsministerium pflegt hierzu eine Webseite mit allen Details. Die dort beschriebenen DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) sind eine Anforderung des US-Verteidigungsministeriums.

Zertifiziert von CIS

Greenbone ist Mitglied des CIS-Konsortiums und erweitert seine CIS-Benchmark-Scan-Konfigurationen fortlaufend. Wie alle von Greenbone auf Basis von CIS Benchmarks entwickelten Compliance-Richtlinien sind auch die neuesten von CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System gemäß den Härtungsempfehlungen von CIS zu prüfen. Das vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien lassen sich schon vorab mit einem Scan durch eine Greenbone-Lösung prüfen und gegebenenfalls gefundene Schwachstellen beheben, bevor Probleme auftauchen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Predictive Vulnerability Management mit Greenbone

,
Jennifer Außendorf, Projektleiterin für das Projekt zum Predictive Vulnerability Management

Projektleiterin Jennifer Außendorf

Mit Predictive Vulnerability Management die Schwachstellen von morgen schon heute erkennen: Zusammen mit internationalen Partnern aus ganz Europa entwickeln die Cyber-Security-Fachleute von Greenbone eine neuartige Cyber-Resilienz-Plattform, die mithilfe von künstlicher Intelligenz und Machine Learning Schwachstellen entdeckt, bevor sie ausgenutzt werden können und die so hilft, Angriffe zu verhindern.

Greenbone verstärkt seine interne Forschung auf dem Gebiet des „Predictive Vulnerability Managements“ und wird 2022 zusätzlich an öffentlich geförderten Forschungs- und Entwicklungsprojekten teilnehmen. Derzeit arbeiten die Security-Fachleute an einem Förderungsantrag für ein Projekt der Europäischen Union. Bis die erste Phase der Antragseinreichung abgeschlossen sein wird, engagiert sich Greenbone innerhalb eines internationalen Konsortiums und arbeitet an einer gemeinsamen Cyber-Resilienz-Plattform. Hier dreht sich alles darum, Angriffe schon im Vorfeld zu verhindern, so dass sich im akuten Notfall schneller Abhilfe schaffen lässt. Dazu sollen Methoden zur Erkennung von Anomalien durch Kombination und Analyse verschiedenster Quellen von Netzwerküberwachungs- und Netzwerkanalysedaten helfen. Der Forschungsbereich konzentriert sich auf aktive Verteidigung gegen Cyber-Attacken und umfasst Penetrationstests und deren Automatisierung und Verbesserung durch maschinelles Lernen.

Projektleiterin Jennifer Außendorf erklärt im Interview, was hinter dem Begriff „Predictive Vulnerability Management“ steckt.

Jennifer, worum geht’s bei Cyber-Resilienz? Predictive Vulnerability Management klingt so nach Minority Report, wo die Polizeieinheit „Precrime“ Kriminelle jagte, die erst in der Zukunft Verbrechen begehen.

Jennifer Außendorf: Die Prognose von Angriffen ist da die einzige Überschneidung, denke ich. Dreh- und Angelpunkt ist dabei unser Greenbone Cloud Service. Durch ihn können wir auf sehr große Datenmengen zurückgreifen. Wir werten sie aus, um Vorhersage und Remediation zu ermöglichen, also sowohl Warnungen für bevorstehende Gefahren als auch wirksame Maßnahmen zur Behebung der Schwachstellen bereitzustellen.

So können wir beispielsweise auch zukünftige Bedrohungen früher identifizieren, weil wir das Predictive Vulnerability Management mit Machine Learning stetig verbessern. Im Bereich „Remediation“ schaffen wir eine „begründete Handlungsfähigkeit“ für Benutzer: Sie sind oft mit der Anzahl an Schwachstellen überfordert und tun sich schwer, anhand der reinen CVSS-Bewertung zu beurteilen, welche Bedrohungen akut und dringend sind.

Eine Lösung wäre es etwa, eine kurze Liste der aktuell kritischsten Schwachstellen zur Verfügung zu stellen – basierend auf den Ergebnissen der künstlichen Intelligenz. Darin sollen dann noch mehr Einflussgrößen als der CVSS-Wert, der eher den technischen Schweregrad beurteilt, berücksichtigt werden. Solch eine Lösung soll dann benutzerfreundlich auf einer Plattform einsehbar sein – natürlich streng anonymisiert und DSGVO-konform.

Warum geht Greenbone damit jetzt in die Öffentlichkeit?

Jennifer Außendorf: Zum einen ist das für die Forschung ein unglaublich spannendes Thema, für das wir die passenden Real-Life-Daten liefern. Die großen Datenmengen, die bei den Scans anfallen, lassen sich auf vielfältige Weise zum Schutz der Kunden einsetzen. Herauszufinden, was alles mit den Daten möglich ist und wie wir das zum Mehrwert der Benutzer und Kunden nutzen können, ist eine große Herausforderung.
Zum anderen will Greenbone mit dem Projekt die Cyber-Sicherheit in der EU stärken. Zum einen ist das gerade ein topaktuelles Thema: Kunden landen bei der Suche nach Cyber-Abwehr oft bei amerikanischen Firmen, was sich meistens nicht gut mit der DSGVO verträgt. Greenbone hat sich entschlossen, ein Projektkonsortium ins Leben zu rufen und wird sich parallel dazu um eine Projektförderung bemühen.

Wer wird oder soll sich am Konsortium beteiligen?

Jennifer Außendorf: Das Konsortium wird aus einer Handvoll Firmen als Kern der Gruppe bestehen und durch Forschungspartner, technische Partner für die Entwicklung und einer User Group aus weiteren Partnern und Testern ergänzt werden.

Weil das Projekt auf EU-Ebene stattfinden wird, ist es uns wichtig, möglichst viele verschiedene Mitgliedsstaaten einzubinden. Die unterschiedlichen Hintergründe der Partner bewirken – so unsere Hoffnung – kreative Ideen und Lösungsansätze, von dem das Projekt nur profitieren kann. Das gilt genauso für die Phase des Aufbaus des Konsortiums.

Gibt es auf dem Gebiet von Predictive Vulnerability Management bisher andere Player oder hat das noch niemand probiert?

Jennifer Außendorf: Momentan sehen wir keinen Wettbewerber – Greenbone will hier auch ganz bewusst Innovationstreiber sein. Ja, die Buzzwords „Thought Leadership“, „Cloud Repurpose“ und „Cyber Resilience“ schweben sicher im Raum, aber eines haben nur wir (und unsere Kunden): Die anonymisierten Daten, die ja essentiell für die Forschungsergebnisse sind, und vor allem die große Datenmenge, die es überhaupt erst ermöglicht Machine Learning und andere Methoden im Zusammenhang mit Künstlicher Intelligenz anzuwenden, die haben nur wir.

Wie ist da der aktuelle Status, was steht auf der Roadmap?

Jennifer Außendorf: Wir sind gerade dabei, mit den ersten Forschungspartnern die einzelnen Themen genauer zu spezifizieren. Sie verfügen über langjährige Erfahrung im Bereich Cyber-Sicherheit, Machine Learning und steuern sehr wertvollen Input bei. Außerdem arbeiten wir gerade daran, das Konsortium zu vergrößern und weitere Partner zu gewinnen. Zeitnah soll dann die Arbeit an dem eigentlichen Antrag starten.

Unser Ziel ist es, Ergebnisse aus dem Projekt direkt in unsere Produkte einfließen zu lassen und so unseren Kunden und Benutzern zugänglich zu machen. Letztendlich sollen ja sie von den Ergebnissen profitieren, und so die Cyber-Resilienz in ihren Unternehmen erhöhen. Das ist das oberste Ziel.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Die Rolle von Bitcoin und Darknet

Ein zweifelhafter Ruf haftet sowohl der Kryptowährung Bitcoin wie auch dem Darknet an. Medien schildern beide gerne als undurchsichtige, kriminelle Parallelwelten. Für Ransomware as a Service sind Bitcoin und Darknet willkommene Werkzeuge. Das organisierte Verbrechen hat sie sich längst zu Nutze gemacht, um seine Geschäfte zu verschleiern, auch wenn die Kriminellen damit keineswegs anonym und sicher vor Strafverfolgung sind.

Ransomware wurde 2021 zur weltweit größten Bedrohung von IT-Systemen. Wer sich erfolgreich davor schützen will, muss auch verstehen, wie die Beteiligten vorgehen. Im ersten Teil dieser Artikelserie ging es um das Geschäftsmodell von Ransomware as a Service. Teil zwei zeigte, warum diese „Professionalisierung“ auch zu einem veränderten Mindset bei den Angreifenden führt. Der dritte Teil erklärt nun, warum die IT-Werkzeuge, die die organisierte Kriminalität zur Bestellung und zur Geldübergabe nutzt, keineswegs sicher sind.

Ransomware as a Service: abstraktes Bild des Bitcoin-Logos

Anonym und sicher?

Bitcoin als Zahlungsmittel und das Darknet erweisen sich als praktisch, hilfreich und attraktiv für Angreifende. Unter dem Deckmantel der vermeintlichen Anonymität wähnen sie sich geschützt vor Strafverfolgung und abgeschirmt von Konsequenzen. Doch das ist ein verbreitetes Missverständnis: Weder Bitcoin noch Darknet sind in der Praxis anonym.

Während die Kryptowährung nie auf Anonymität ausgelegt war, sondern explizit auf Nachvollziehbarkeit von Transaktionen auch ohne zuverlässige zentrale Autorität, erweist sich das Darknet als nicht mal ansatzweise so anonym wie seine Macher es sich gewünscht hätten. Das zeigen auch Berichte wie die jüngsten über die „Deanonymisierungsangriffe“ von KAX17 auf das Tor-Netzwerk. Fast immer reicht der Strafverfolgung klassische Ermittlungsmethoden, um auch Ransomware-Agierende wie die REvil-Gruppe ausfindig zu machen. Die hatte laut Heise in mehr als 5.000 Infektionen eine halbe Million Euro an Lösegeldern eingetrieben.

Nie eine gute Idee: mit Kriminellen kooperieren

Egal, ob online oder offline, wer sich mit Erpressenden einlässt, ist verlassen. Als guter Rat gilt wie im richtigen Leben: niemals Lösegeld bezahlen. Ganz egal wie professionell die Hotline am anderen Ende auch scheint, Vertrauen ist nicht angebracht. Die Betreibenden von REvils Ransomware as a Service beispielsweise stahlen ihren Auftraggebenden sogar die erpressten Lösegelder über eine Backdoor in der Malware.

Dabei hatte alles so freundlich und idealistisch angefangen. Roger Dingledine und Nick Mathewson legten die Grundsteine für das Tor-Netzwerk Anfang der 2000er Jahre. Basierend auf der Idee der Zwiebelringe sollten zahlreiche kryptographisch gesicherte Schichten übereinander für zuverlässige Anonymität im Web sorgen – ihrer Meinung nach ein Grundrecht, analog zur Privacy-Definition von Eric Hughes „Cypherpunk’s Manifesto“. 2009 erblickte dann Bitcoin das Licht der Welt, erstmals beschrieben durch die fast schon mystische Figur des Satoshi Nakamoto.

Darknet und Bitcoin sind nicht „kriminell“

Weder Darknet noch Bitcoin wurden entworfen, um dunkle Machenschaften zu verschleiern oder zu ermöglichen. Ziel war das Schaffen freier, unabhängiger, vermeintlich unkontrollierbarer und weitgehend sicherer Strukturen für Informationsaustausch und Bezahlung. Wie ein Messer lassen sich die Dienste jedoch sowohl für Gutes als auch für Böses instrumentalisieren – und natürlich weiß die organisierte Kriminalität das für sich zu nutzen. Nicht immer liegt dabei der Schwerpunkt darauf, keine Spuren zu hinterlassen. Meist steht die Einfachheit und Verfügbarkeit der Mittel im Vordergrund. Bitcoin und das Darknet sind schlicht die Tools der Wahl, weil sie da sind.

Aber wie in der realen Welt schnappt man die Erpressenden am einfachsten bei der Geldübergabe: Eine Blockchain wie Bitcoin dokumentiert alle jemals getätigten Transaktionen inklusive der Wallet-Informationen (also den Bitcoin-Besitzenden) und macht sie jederzeit einsehbar. Gleiches gilt für das Darknet: Selbst, wenn technisch Anonymität möglich ist, scheitern Menschen regelmäßig an den einfachsten Anforderungen. Da finden sich dann GPS-Meta-Daten in Fotos oder UPS-Codes im illegalen Shop. Der legendäre Drogenshop Silkroad flog auf, weil Mitarbeitende Fehler machten und geständig waren.

Digitalisierte, organisierte Kriminalität

Das Darknet und die Kryptowährungen sind hilfreiche Werkzeuge für die organisierte Kriminalität und damit Brandbeschleuniger für die schnell wachsende Anzahl an gravierenden Ransomware-Attacken. Aber sie sind keineswegs essenziell, noch trifft sie eine Schuld. Derartige Cyber-Kriminalität ist nur die moderne IT-Variante dessen, was wir auch auf den Straßen beliebiger Großstädte erleben können. Ransomware ist sozusagen die moderne Schutzgelderpressung, Bitcoin der Abfalleimer für die Übergabe, das Darknet die dunkle Kneipe, in der Deals vereinbart werden.

Das Perfide steckt nicht in den Werkzeugen, sondern in den Methoden und der langen Erfahrung im „Business“. Trend Micro beschreibt beispielsweise den Ansatz der „Double Extortion Ransomware“. Dabei machen sich Angreifende erst ein Bild über die Daten und drohen, diese bei Nicht-Bezahlen (also bei Nicht-Entschlüsselung) zu veröffentlichen. Organisierte Kriminalität betreibt das Geschäft mit der Erpressung nicht erst seit es Bitcoin oder das Darknet gibt. Auch wenn die beiden Technologien es Cyber-Kriminellen heute ermöglichen, zunächst unerkannt große Geldsummen zu erpressen, reichen herkömmliche Methoden fast immer zur Aufklärung. Wichtigste Voraussetzung dabei ist, dass genug Personal für die Strafverfolgung zur Verfügung steht, nicht in erster Linie dessen technische Ausstattung.

Vorsorge treffen

Doch zu diesem Zeitpunkt ist das Kind im Unternehmen bereits in den Brunnen gefallen. Wer vor seinen verschlüsselten Daten steht und sich einer Lösegeldforderung gegenübersieht, dem sind das Darknet, Bitcoin und die Aufklärungsquote vermutlich erst mal zweitrangig. Viel wichtiger ist die Frage, wie man aus der misslichen Lage wieder herauskommt. Und das gelingt nur, wenn man vorbereitet war. Dazu gehören Backups, Restore-Tests und das sofortige Abtrennen aller betroffenen Maschinen (Network Split) – also proaktives Risikomanagement, Desaster Recovery Tests und stetige Pflege der eigenen Systeme. Ein weiterer wichtiger Baustein ist die Multi-Faktor-Authentifizierung, die verhindert, dass sich Angreifende allein durch erworbene Passwörter von einem System zum nächsten hangeln.

Am wichtigsten ist es jedoch, gar nicht erst in kritische Situationen zu gelangen und Schwachstellen in den eigenen Systemen zu erkennen und schnell zu schließen. Modernes Schwachstellenmanagement wie das von Greenbone leistet genau das: Es legt Angreifenden Steine in den Weg und macht das Firmennetzwerk unattraktiv, aufwändig und somit abschreckend für die professionellen Cyber-Kriminellen, nicht nur aus der Ransomware-as-a-Service-Welt.

Die Produkte von Greenbone überwachen das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen, indem sie es fortlaufend und vollautomatisch untersuchen und garantieren als Greenbone Enterprise Appliances oder dem Greenbone Cloud Service (in deutschen Rechenzentren gehostete Software as a Service) Sicherheit durch stets aktuelle Scans und Tests.

Wie das funktioniert, beschreibt Elmar Geese, CIO/CMO bei Greenbone, ebenfalls hier im Blog anhand eines Posts rund um die log4j-Schwachstelle. Außerdem erklärt Geese, wie schnell und sicher die Administration und das Management auch bei den neuesten Schwachstellen informiert wird und wie genau der Scan nach Schwachstellen wie Log4Shell abläuft.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Weitere Log4j-Schwachstellen veröffentlicht

Log4j war von einer Schwachstelle betroffen, die Remote-Code-Execution-Angriffe (RCE-Angriffe) ermöglichte. Kurz gesagt, konnten Benutzereingaben in eine Software zu einer Codeausführung auf einem entfernten Server führen. Dies stellt ein schwerwiegendes Sicherheitsrisiko dar. Die Schwachstelle wurde „Log4Shell“ (CVE-2021-44228) genannt und sofort vom Log4j-Team behoben. In den folgenden Tagen wurden weitere Log4j-Schwachstellen gefunden. Diese haben zwar nicht die gleichen Auswirkungen wie die erste, können aber ebenfalls schwere Schäden verursachen. Aus diesem Grund ist es sehr wichtig, die Systeme zu überprüfen und immer auf die neuesten Versionen zu aktualisieren.

Da Log4j in zahlreichen Softwareprodukten enthalten ist, mussten und müssen auch die Hersteller der Produkte Updates bereitstellen. Dies ist noch nicht abgeschlossen und es könnten in Zukunft weitere Log4j-Schwachstellen auftauchen.

Als ein bewegliches Ziel bekommt Log4j immer noch viel Aufmerksamkeit, unter verschiedenen Aspekten:

  • Neue (und glücklicherweise weniger schwerwiegende) Sicherheitslücken werden gefunden.
  • Es entstehen neue Initiativen zur proaktiven Überprüfung von Log4-Quellen, wie zum Beispiel die Initiative von Google: Improving OSS-Fuzz and Jazzer to catch Log4Shell
  • Bei Greenbone erstellen wir noch mehr Schwachstellentests, um eine bessere Testabdeckung zu erreichen, und stellen sie täglich für unsere Produkte bereit.

Wir haben bereits eine ziemlich gute CVE-Abdeckung für die zusätzlichen Log4j-Schwachstellen, die in den letzten Tagen veröffentlicht wurden, erzielt, einschließlich:

  • CVE-2021-44228
  • CVE-2021-4104
  • CVE-2021-45046
  • CVE-2021-45105

Wie bereits erwähnt, hören wir hier nicht auf. Weitere lokale Sicherheitsprüfungen werden heute und morgen folgen, sobald die Linux-Distributionen ihre Advisories veröffentlicht haben.

Wir haben bereits einige Fakten über Log4j und den Umgang damit in unseren letzten Beiträgen veröffentlicht:


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Scanning bei Schwachstellen wie Log4Shell – Wie funktioniert es?

Das Schwachstellenmanagement von Greenbone findet Anwendungen mit Log4j-Schwachstellen in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Log4shell-Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen. Wie aber werden Schwachstellen gefunden, und wo können sie sich verbergen? Warum sind Schwachstellen nicht immer direkt auffindbar? Im folgenden Artikel erhalten Sie eine kurze Einsicht, wie das Scanning bei Schwachstellen wie Log4Shell funktioniert.

Ein Schwachstellenscanner stellt gezielt Anfragen an Systeme und Dienste und kann aus den Antworten ablesen, welcher Art die Systeme und Dienste sind, aber auch welche Produkte dahinter stehen. Das schließt auch Informationen wie deren Versionen oder auch Einstellungen und weitere Eigenschaften ein. Damit lässt sich in vielen Fällen ablesen, ob eine Anfälligkeit für eine bestimmte Schwachstelle vorliegt und auch, ob diese schon beseitigt wurde. In der Praxis sind das teilweise hochkomplizierte und verschachtelte Anfragen, vor allem aber auch sehr, sehr viele. Es werden ganze Netzwerke nach Tausenden von verschiedenen Schwachstellen durchforstet.

Bei der Log4j-Schwachstelle „Log4Shell“ (CVE-2021-44228) handelt es sich um eine fehlerhafte Programm-Bibliothek, die in vielen Produkten für Web-Dienste verwendet wird. Teilweise ist sie daher durch einen Schwachstellenscan direkt sichtbar, teilweise ist sie aber auch hinter anderen Elementen versteckt. Deshalb gibt es auch nicht nur einen Schwachstellentest für Log4j, sondern zahlreiche. Es kommen ständig weitere hinzu, weil die Hersteller der jeweiligen Produkte entsprechende Informationen teilen und auch Updates zur Verfügung stellen, um die Lücken zu schließen. Die Liste der von Log4Shell betroffenen Systeme wird unter https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 ständig aktualisiert.

Einige der Schwachstellentests erfordern einen authentifizierten Scan. Das bedeutet, dass sich der Scanner zunächst auf einem System anmelden muss, um im System dann die Verwundbarkeit festzustellen. Ein authentifizierter Scan kann mehr Details über Schwachstellen auf dem gescannten System bereitstellen.

Die Schwachstellentests, die geeignet sind die Log4j-Schwachstelle zu finden, werden gesammelt in einer Scan-Konfiguration bereitgestellt. Greenbone hält diese „Log4j“-Scan-Konfiguration kontinuierlich aktuell, um immer wieder neue Tests hinzuzufügen. Dadurch kann ein Scanvorgang morgen eine Log4j-Schwachstelle melden, die heute noch nicht gefunden wurde. Es ist daher ratsam, den Log4j-Scan so zu konfigurieren, dass er automatisch regelmäßig ausgeführt wird. Besonders wichtig ist dies in den nächsten Wochen, in denen viele Softwarehersteller weitere Erkenntnisse zusammentragen. Greenbone integriert diese Erkenntnisse laufend in die Tests und in die Scan-Konfiguration.

Scanning bei Schwachstellen wie Log4Shell

Muss eine Schwachstelle ausgenutzt werden, um sie zu finden?

Eine Schwachstelle auzunutzen, um sie zu finden, ist nicht ratsam. Und zum Glück auch nicht erforderlich. Dabei könnten genau die Schäden entstehen, die unbedingt vermieden werden sollen. Ein Produktanbieter, der das Ausnutzen der Schwachstellen als Funktion bereitstellt, würde zudem möglicherweise den Missbrauch dieser Funktion stark befördern, was weitere – nicht nur rechtliche – Probleme aufwirft. Daher beinhaltet das Schwachstellenmanagement von Greenbone solche Funktionen nicht.

Eine Ausnutzung der Log4j-Schwachstelle wie es Angreifende tun würden, ist auch nicht erforderlich, um das Vorhandensein der Schwachstelle nachzuweisen. Greenbone hat verschiedene Tests zum Nachweis für Log4Shell entwickelt, die jeweils unterschiedlich tief in die Systeme schauen. Mehrere Tests können die Log4j-Schwachstelle mit 100%iger Gewissheit nachweisen, die meisten mit einer Sicherheit von 80 % bis 97 %. Einige Tests sammeln außerdem Indikatoren von 30 %, wo sie nicht nahe genug an die Schwachstelle herankommen. Jeder Test bei Greenbone macht eine Aussage zu der Nachweissicherheit, welche als „Qualität der Erkennung“ angegeben wird.

Welche Rolle spielen die Hersteller von Softwareprodukten?

Hersteller verschiedenster Produkte können Log4j-Bibliotheken verwenden, die damit nun verwundbar sind. Die Produkthersteller haben Log4j auf unterschiedliche Weise eingebunden. In der Regel kann durch einen tiefen Scan Log4j auch ohne Mithilfe des Hersteller gefunden werden. Die meisten Hersteller unterstützen den Vorgang aber auch durch öffentliche Schwachstellenmeldungen. Diese können dann genutzt werden, um Schwachstellentests zu schreiben, die auch mit weniger tiefen Scans eine verlässliche Aussage zur Verwundbarkeit machen können. Der Grund dafür ist, dass die Scans durch Herstellerinformationen einfachere Konfigurationen verwenden können. Hinzu kommt, dass sie auch schneller laufen.

Grundsätzlich kann jedoch ein Schwachstellenscanner auch prüfen und Schwachstellen finden, ohne dass der Hersteller eine Schwachstellenmeldung veröffentlicht.

Fazit

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Das ist vergleichbar zu einem Fahrzeug, das durch Fahrgastzelle, Gurte, Airbags, Bremsunterstützung, Assistenzsysteme und vieles mehr die Sicherheit erhöht, aber nie garantieren kann. Schwachstellenmanagement macht Risiken beherrschbar.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Das Mindset der Cyber-Kriminellen hat sich geändert

Der zweite Teil unserer Serie über die fortschreitende Professionalisierung der Angriffe auf IT-Systeme beschäftigt sich mit Veränderungen im Mindset der Angreifenden. Automatisierung, Kommerzialisierung und Cloudcomputing haben Ihre Spuren auch im typischen Profil von Cyber-Kriminellen hinterlassen, mit denen sich Admins und das Schwachstellenmanagement auseinandersetzen müssen. Entgegen gängiger Hollywoodklischees geht die Bedrohung durch Ransomware as a Service in der Regel nicht (mehr) von hochbegabten Script-Kiddies mit viel Zeit oder von anarchistischen Weltverbesserern im Hoodie aus. Auch nicht von hochqualifizierten und mit schier endlosen Ressourcen ausgestatteten Geheimdiensten.

Angriffe sind heute Auftragsarbeiten

Die gefährlichsten Angriffe heute arbeiten zunehmend „im Auftrag“, verfolgen also ein Geschäftsmodell und müssen sich dabei auch an Werten wie Effizienz oder Erfolgswahrscheinlichkeit orientieren. Genauso wie das Cloud-Computing fester Bestandteil der IT der meisten Unternehmen geworden ist, dient es mittlerweile auch Cyber-Kriminellen dazu, Angriffe zu automatisieren, zu organisieren und zu beschleunigen. Mit großem Erfolg: Ransomware ist zur größten Bedrohung erwachsen und bei Ransomware as a Service lassen sich Angriffe ganz einfach buchen.

Mehr und mehr Sicherheitsfachleute entwickeln gerade erst ein Verständnis für die Geschäftsmodelle der Angreifenden: Deren Logik unterscheidet sich kaum mehr von der anderer Unternehmen. Sie investieren die gleichen Ressourcen in die Entwicklung von Exploits und Tools und wollen den höchstmöglichen Return on Investment (ROI) erzielen. Deswegen achten sie häufig stark darauf, dass sich ihre Werkzeuge wiederverwenden lassen.

Angesichts begrenzter Ressourcen entwickeln Cyber-Kriminelle Exploits für weit verbreitete Technologien, die ein hohes Gewinnpotenzial für mehrere Ziele bieten.

Die Perspektive der Cyber-Kriminellen

Die Angreifenden haben sich organisiert, bestellt wird im Darknet, bezahlt via Bitcoin. Gewinnmaximiert, effizienzorientiert und professionell strukturiert: Die neue, wirtschaftlich orientierte Logik kann und muss aber auch ein Schlüssel zu besseren Abwehrmechanismen sein. Gerade wenn Security-Verantwortliche sich unter einer Lawine von Sicherheitswarnungen begraben sehen, ist es hilfreich, zu verstehen, wie Cyber-Kriminelle „ticken“.

Um die eigenen Systeme abzusichern, muss die Verteidigung jetzt umdenken und über den eigenen Tellerrand blicken. Die Logik der Cyber-Kriminellen hilft, die entscheidenden Signale zu entschlüsseln und Lücken zu schließen. David Wolpoff, CTO von Randori, hat in einem Blogbeitrag auf Threatpost sechs zentrale Fragen formuliert, die das Mindset der modernen Cyber-Kriminellen gut beschreiben:

  1. Welche nützlichen Informationen über ein Ziel lassen sich von außen erkennen?
  2. Wie wertvoll ist das Ziel für die Angreifenden?
  3. Ist das Ziel als leicht zu hacken bekannt?
  4. Welches Potenzial bieten Ziel und Umgebung?
  5. Wie lange wird es dauern, einen Exploit zu entwickeln?
  6. Gibt es einen wiederholbaren ROI für einen Exploit?

Je mehr Wissen Cyber-Kriminelle über eine Technologie oder eine Person in einem Unternehmen sammeln können, desto besser können sie die nächste Angriffsphase planen. Im ersten Schritt stellen sie so die Frage, wie detailliert sich das Ziel von außen beschreiben lässt. Je nach Konfiguration kann ein Webserver beispielsweise keine Serverkennung oder Servernamen und detaillierte Versionssnummern verraten. Ist die genaue Version eines verwendeten Dienstes und seine Konfiguration sichtbar, lassen sich präzise Exploits und Angriffe ausführen. Das maximiert die Erfolgschancen und minimiert zeitgleich die Entdeckungswahrscheinlichkeit und die Aufwände.

Nicht mehr wahllos

Das zunehmend wichtigere wirtschaftliche Interesse sorgt dafür, dass Cyber-Kriminelle Faktoren wie Aufwand, Zeit, Geld und Risiko stärker berücksichtigen müssen. Dementsprechend lohnt es sich nicht, wahllos Systeme anzugreifen oder auszuspähen. Angreifende klären heutzutage zuerst den potentiellen Wert, bevor sie handeln und konzentrieren sich auf vielversprechende Ziele wie VPNs und Firewalls, Anmeldedatenspeicher, Authentifizierungssysteme oder Remote-Support-Lösungen am Netzwerkrand. Die könnten sich als Generalschlüssel entpuppen und den Weg ins Netzwerk oder zu Anmeldeinformationen aufsperren.

Immer wieder tauchen Meldungen über kritische und brandgefährliche Schwachstellen auf, die offenbar niemand für Angriffe ausgenutzt hatte. Es klingt unglaublich, aber oft hat sich einfach niemand die Arbeit gemacht, für eine Schwachstelle einen Exploit zu programmieren. Moderne Cyber-Kriminelle folgen immer mehr dem Prinzip des Return on Investment und bedienen sich existierender Proof of Concepts (PoC).

Komplexität ist unerwünscht

So ergeben sich manchmal überraschende Erkenntnisse: Moderne Cyber-Kriminelle meiden wohldokumentierte Schwachstellen. Umfangreiche Untersuchungen und Analysen zu einer bestimmten Sicherheitslücke sind eher ein Indikator für unerwünschte Komplexität und Aufwand, den man möglichst gering halten möchte. RaaS-Hacker:innen fahnden nach verfügbaren Tools oder kaufen für ein bestimmtes Objekt bereits erstellte Exploits. Angreifende wollen sich unbemerkt in den von ihnen kompromittierten Systemen bewegen. Sie suchen sich also Ziele mit wenigen Abwehrmechanismen aus, wo Malware und Pivoting-Tools funktionieren, etwa Desktop-Telefone und VPN-Apps sowie andere ungeschützte Hardware. Viele Anwendungen dort sind mit oder für Linux erstellt, besitzen einen vollständigen Nutzungsbereich und verfügen über vertrauenswürdige, vorinstallierte Tools. Das verspricht, sie nach einem Exploit weiterhin nutzen zu können und macht sie umso attraktiver für Cyber-Kriminelle.

Überraschende Kosten-Nutzen-Rechnung

Ist das Ziel erst einmal anvisiert, gilt es für Angreifende Zeit, Kosten und Wiederverwendbarkeit einzuschätzen. Schwachstellenforschung (Vulnerabilty Research) geht hierbei auch über das bloße Aufdecken ungepatchter Geräte hinaus. Cyber-Kriminelle müssen beurteilen, ob die Kosten für die Recherche und Entwicklung der daraus resultierenden Tools im Verhältnis zum Gewinn nach einer Attacke stehen. Gut dokumentierte Software oder Open-Source-Tools, die leicht zu beschaffen und zu testen sind, bedeuten ein vergleichsweise leichtes Ziel.

Ebenfalls überraschend: Insgesamt spielt laut Wolpoff der Schweregrad einer Sicherheitslücke für Cyber-Kriminelle nicht die zentrale Rolle. Einen Angriff zu planen ist weit komplexer und erfordert wirtschaftliches Denken. Die Erkenntnis, dass auch die Gegenseite Kompromisse eingehen muss, hilft der Verteidigung von Cloud-Umgebungen, diese sinnvoll abzusichern. Alles, überall und jederzeit vor allen Angreifenden zu schützen ist illusorisch. Mehr wie sie zu denken, erleichtert aber die Priorisierung.

Im dritten Teil dieser Artikelserie dreht sich alles um die Frage, ob das Ransomware-as-a-Service-Modell auch ohne Bitcoin und Darknet möglich wäre und ob die beiden Technologien eigentlich in dem Kontext halten, was die Angreifenden versprechen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Warum das Geschäft mit der Erpressung floriert

Dieser Artikel ist der erste von drei Blogposts über die veränderte Bedrohungslage in professionellen Umgebungen. „Ransomware as a Service“ hat mächtige Auswirkungen auf Unternehmen, die aber keineswegs schutzlos dastehen. Auch modernes Schwachstellenmanagement, welches die Produkte von Greenbone ermöglichen, spielt in diesem Zusammenhang eine wichtige Rolle.

Zahlen 2020 – Anstieg, Umsatz, Kosten

Sie heißen DarkSide, REvil, Dharma, Egregor, Maze, LockBit oder Thanos. Selbst Emotet feiert gerade ein unerfreuliches Comeback: weltweit steigen die Ransomware-Angriffe, scheinbar ungebremst. Dabei nimmt auch ihre Intensität massiv zu: REvil und DarkSide legten die Bank of Scotland und eine wichtige Pipeline an der US-Ostküste lahm. In Deutschland leiden Behörden, Krankenhäuser und ganze Landkreise unter den Ransomware-Angriffen.

Ransomware ist Schadsoftware, die ein System verschlüsselt und den Zugriff auf die Daten nur dann wieder frei gibt, wenn das Opfer ein Lösegeld zahlt. Daher auch der Begriff „Ransom“, englisch für Lösegeld. Häufige Verbreitungswege für Ransomware sind Spam-Mails, Phishing und Drive-by-Exploits. Letztere nutzen Schwachstellen in Browsern, Browser-Plugins, Betriebssystemen und Netzwerkdiensten aus.

Fast alle erfolgreichen Angriffe auf IT-Infrastrukturen in den letzten Jahren gehen auf diesen Typen zurück, der so anders „tickt“ als die Cyber-Kriminellen der vergangenen Jahrzehnte. Das Bedrohungsszenario hat sich geändert, Ransomware wird heute von professionellen Infrastrukturen erstellt und betrieben, diese arbeiten gewinnorientiert und mindestens ebenso effizient wie die Unternehmen und Organisationen, die ihnen als Angriffsziele dienen. Angesichts der neuen Bedrohung müssen diese umdenken, wenn es um den Schutz ihrer Infrastrukturen geht.

Ein wichtiger Grund für den großen Erfolg von Ransomware ist Herstellern zufolge die zunehmende Verbreitung von Cloud-Infrastrukturen. Einerseits benutzen Angreifende selbst Cloud-Dienste, andererseits profitieren sie von der größeren Angriffsfläche, die Unternehmen erst recht in Zeiten von Homeoffice bieten. Ein anderer Grund ist auf fehlende Updates oder falsche Konfigurationen in der Unternehms-IT zurückzuführen. Beide Ursachen erhöhen die Erfolgswahrscheinlichkeit für Angreifende. Die Ressourcen sind jedoch sehr ungleich verteilt: In den letzten Jahren etablierte sich eine weltweit und höchstprofessionell arbeitende Industrie, die Cloud-Dienste für Cyber-Kriminelle anbietet – „Ransomware as a Service“ (RaaS).

Von „Software as a Service“ zu „Ransomware as a Service“

Das Konzept von „Software as a Service“ (SaaS), also IT-Dienste aus der Cloud ohne Software zu erwerben und diese nur nach Nutzung abzurechnen, hat sich seit mehreren Jahrzehnten bewährt. Bekannte SaaS-Anbieter sind Slack, Salesforce und WordPress. Auch große Software-Firmen wie Microsoft mit Microsoft 365 und Adobe mit der Adobe Creative Cloud bieten mittlerweile SaaS-Versionen Ihrer Produkte an. Auch Greenbones Cloud-Service funktioniert nach diesem Modell. Die Vorteile des Services liegen in der Skalierbarkeit, der Flexibilität, der hohen IT-Sicherheit und den strengen Regeln des europäischen Datenschutzes, insbesondere wenn das Hosting in deutschen Rechenzentren erfolgt, wie auch beim Greenbone Cloud Service.

Spätestens 2020 erreichte der Trend auch das Darknet und den Markt der Ransomware-Hacker:innen. Mit dem SaaS-Geschäftsmodell im Hintergrund infiltrieren Angreifende lokale Netze, verschlüsseln Daten und verlangen Lösegeld vom Opfer. RaaS nutzt nun das SaaS-Modell, um Malware effizienter und kostengünstiger unter die Leute zu bringen und Gelder zu erpressen.

Über 60 % aller bekannten Ransomware-Angriffe gingen 2020 bereits auf das Konto von RaaS-Modellen, einem hart umkämpften, aber wachsenden Markt. 15 neue RaaS-Anbieter sollen 2020 hinzugekommen sein. Das Geschäftsmodell ist klar: Die Kundschaft, also potenzielle Hacker:innen oder Angreifende, brauchen keinerlei technische Fähigkeiten mehr, es gibt Rabattaktionen und professionelle Services. All das macht RaaS für Cyber-Kriminelle zunehmend attraktiv und funktioniert offensichtlich, weil ihnen zahllose unzureichend geschützte Infrastrukturen offenstehen.

Die Anzahl der gesamten Ransomware-Angriffe stieg 2020 um fast 500 Prozent. Zwei Drittel davon gehen auf das Konto von RaaS-Angeboten, Tendenz auch 2021 steigend [1]. Mit Ransomware machten Angreifende im Jahr 2020 geschätzt 20 Milliarden US-Dollar Umsatz, nach gut 11 Milliarden in 2019 [2]. RaaS-Angebote gibt es für Hacker:innen ab 40 $/Monat. Wer mehr Service will, kann auch Tausende Dollar investieren [3].

Die durchschnittlichen Kosten für betroffene Firmen für das Aufräumen nach einem Ransomware-Angriff haben sich im Laufe des Jahres 2020 verdoppelt  und betragen in der Regel das Zehnfache der geforderten Lösegelder. Diese wiederum lagen im Jahr 2020 durchschnittlich zwischen 200.000 und 300.000 Dollar [4]. Ob Konzern oder kleines Unternehmen, meist sind die Forderungen gleich hoch, denn nicht jeder Angriff muss erfolgreich sein. Wie auch bei Spam ist die Masse entscheidend.

„Ransomware as a Service“ als Geschäftsmodell

Das Geschäftsmodell von „Ransomware as a Service“ erklären Websites wie die von AppKnox umfassend und anschaulich: RaaS-Organisationen vermieten Software und IT-Infrastrukturen, die von und bei einem externen IT-Dienstleistungsunternehmen betrieben werden. Cyber-Kriminelle mieten sie als Dienstleistung, um Unternehmen oder Privatpersonen anzugreifen und zu erpressen. RaaS-Entwickelnde und -Anbietende sind juristisch auf der sicheren Seite, sie stellen ja „nur“ die Infrastruktur bereit und sind so nicht für den Angriff verantwortlich. Heute kann jeder RaaS-Angriffe buchen, starten und Unternehmen, Behörden oder Privatpersonen erheblichen Schaden zufügen.

Dahinter stecken vier gängige RaaS-Geschäftsmodelle:

  • Monatliche Zahlung (Abo-Modell)
  • Partnerprogramme, zusätzlich zum Abo-Modell gibt es Gewinnbeteiligungen
  • Einmalige Lizenzgebühr
  • Ausschließlich Gewinnbeteiligung

Egal für welches Modell sich Anwendende entscheiden, einige RaaS-Firmen machen es Ihnen sehr einfach: ab ins Darknet, einloggen, Konto anlegen, Modell wählen, ggf. mit Bitcoin zahlen, Schadsoftware verteilen und warten, bis der Erfolg eintritt.

Für das investierte Geld gibt es Service auf Enterprise-Niveau. Ein typisches Produkt enthält nicht nur den Code der Ransomware sowie die Schlüssel zum Ver- und Entschlüsseln, sondern liefert auch gleich die passenden Phishing-E-Mails, um einen Angriff zu starten, eine gute Dokumentation und 24/7-Support. Auch um die Abrechnung, das Monitoring, Updates und Statusberichte, Kalkulation und Prognosen hinsichtlich einer Einnahmen-/Ausgaben-Rechnung wird sich gekümmert.

Potenzielle Opfer sind keineswegs hilflos

Trotz der Professionalität müssen Unternehmen und Behörden nicht tatenlos zusehen. Zwar sieht man sich jetzt anderen Angreifenden gegenüber, macht- und hilflos ist man keineswegs.

Teuer wird es dagegen auf jeden Fall, wenn das Kind schon in den Brunnen gefallen ist: Das FBI warnt regelmäßig davor, auf Forderungen von Erpressenden einzugehen, erst recht nicht bei organisierter Kriminalität und schon gar nicht bei Ransomware. Da hilft dann nur noch der teure, langwierige Neuaufbau oder der Versuch, die Verschlüsselung zu knacken. Günstiger ist es vielmehr, sich vorzubereiten.

Schützen können sich Unternehmen durch einige simple Maßnahmen und konsequentes Einhalten von Best Practices. Backups, an verschiedenen Orten und abgetrennt vom Tagesgeschäft, schützen die Daten. Zwei-Faktor-Authentifizierung behindert Angreifende, die an Passworte kommen konnten. Starke Passwörter sollten heute selbstverständlich sein, genauso wie eine smarte Netzwerksegmentierung. Planung, Incident-Response- und Recovery-Pläne müssen erstellt und regelmäßig getestet werden. Automatisierung, Monitoring und regelmäßige Schulungen der Mitarbeitenden hinsichtlich der IT-Sicherheit (z. B. Phishing-E-Mails) sind ein Muss. Der Automatisierung kommt dabei innerhalb der IT ein besonderer Stellenwert zu, weil die Angriffe bisweilen so schnell erfolgen, dass menschliche Reaktionen ins Leere laufen.

Die Basis für all diese Maßnahmen stellen Lösungen der Endpoint-Protection und des professionellen Schwachstellenmanagements dar. Das Wissen über Verwundbarkeiten und Schwachstellen in den Netzwerken ist hier Gold wert. Admins erkennen die Lücken Ihrer IT-Verteidigung und schließen diese, bevor Cyber-Kriminelle sie missbrauchen können – mit den Greenbone-Lösungen kontinuierlich und automatisch.

Die Produkte von Greenbone untersuchen fortlaufend das Unternehmensnetzwerk oder externe   IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärteten Greenbone Enterprise Appliances oder der als Software as a Service verfügbare Greenbone Cloud Service, dessen Hosting in deutschen Rechenzentren erfolgt, garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren. Auf diese Weise sind Unternehmen auch gut vorbereitet, wenn „Ransomware as a Service“ als Geschäftsmodell weiter zunimmt.

[1] https://www.unityit.com/ransomware-as-a-service/

[2] https://www.pcspezialist.de/blog/2021/06/14/raas-ransomware-as-a-service/

[3] https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

[4] https://www.appknox.com/blog/ransomware-as-a-service

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Nach dem Hack ist vor dem Hack: Greenbone schützt Behörden zu Sonderkonditionen

Immer wieder werden deutsche Behörden und Kommunen Ziele von Cyber-Angriffen. Der anschließende Wiederaufbau dauert oft mehrere Monate. Mit einem Schwachstellenmanagement kann das Risiko von Cyber-Angriffen drastisch reduziert werden – denn durch das Beseitigen von Schwachstellen wird Angreifenden die notwendige Grundlage genommen. Auch das Schwachstellenmanagement von Greenbone schützt Behörden – zu Sonderkonditionen.

Landkreise und Krankenhäuser gehackt, ganze IT-Infrastrukturen liegen lahm, zu behandelnde Personen werden ausgelagert, die Bundeswehr muss helfen: Was vor wenigen Jahren noch apokalyptisch anmutete, wurde im Sommer 2021 verstörende Realität. Zum ersten Mal in der deutschen Geschichte wurde der Katastrophenfall ausgerufen, weil sich Angreifende erfolgreich Zugriff auf die Netzwerke von Behörden oder deren Dienstleistenden verschafft hatten. Schwerin, Witten, Bitterfeld, Ludwigslust: Die Liste ist lang und nur großflächiges Deaktivieren der Server half den Betroffenen.

Abschalten hilft nur akut, der Neuaufbau dauert Monate

Wer sind die Angreifenden? Nicht immer ist es im digitalen Raum möglich, die Personen zu finden, die hinter den Taten stecken, sogar dann, wenn erpresserische Geschäftsmodelle und Lösegeldforderungen vorliegen. Meldepflichten und IT-Sicherheitsgesetze helfen den Betroffenen auch nicht konkret dabei weiter, denn der Schaden ist bereits entstanden: In der Regel wissen die Opfer noch nicht einmal gesichert, ob sie gezielt oder per Zufall angegriffen wurden. Die Schadenssummen sind immens, manche Behörden sind Monate mit dem Aufräumen und Wiederherstellen beschäftigt, nicht selten müssen ganze Systemlandschaften neu aufgebaut werden.

Dekoratives Bild einer Behörde

Cyber-Kriminelle nutzen Schwachstellen, die bereits gefixt waren

Warum aber fällt es Angreifenden so leicht, in fremde Netze einzudringen? Die meisten Angriffe, vor allem automatisierte, nutzen eigentlich schon lange geschlossene Schwachstellen für die Einbrüche.

Das funktioniert derzeit so gut, weil sich durch Systempflege allein nicht alle Systeme ausreichend auf Angriffe vorbereiten lassen. Schwachstellen können in Produkten, Systemkomponenten oder deren Konfiguration verborgen sein, die sich in den üblichen Infrastrukturen zu vielen tausenden Angriffspunkten summieren. Da stehen Hintertüren offen, die Angreifende aufspüren können, oft mit relativ einfach zu handhabenden Werkzeugen.

Schwachstellenscanner informieren und helfen, Lücken zu schließen

Dabei sind Admins, Behörden und Firmen keinesfalls machtlos. Was zählt, ist das Wissen über Verwundbarkeiten, Schwachstellen oder offene Flanken in den Netzwerken. Mit den richtigen Tools sind Sie Cyber-Kriminellen immer einen Schritt voraus, weil sie die Lücken Ihrer IT-Verteidigung erkennen, bevor Cyber-Kriminellen dies gelingt – mit den Greenbone-Lösungen klappt das kontinuierlich und automatisch.

Greenbone-Enterprise-Produkte untersuchen fortlaufend das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärtete Appliances – virtuell oder als Hardware verfügbar – oder der als Software-as-a-Service verfügbare Greenbone Cloud Service garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren.

Sonderkonditionen für Behörden

Das erkennen auch mehr und mehr Behörden, die sich im Kampf gegen Cyber-Attacken für Greenbone entscheiden. Greenbone schützt Behörden zu Sonderkonditionen und die Lösungen können einfach über das Kaufhaus des Bundes beschafft werden.

 


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von