Schlagwortarchiv für: Schwachstellenscanning

Dieser Artikel ist der erste von drei Blogposts über die veränderte Bedrohungslage in professionellen Umgebungen. „Ransomware as a Service“ hat mächtige Auswirkungen auf Unternehmen, die aber keineswegs schutzlos dastehen. Auch modernes Schwachstellenmanagement, welches die Produkte von Greenbone ermöglichen, spielt in diesem Zusammenhang eine wichtige Rolle.

Zahlen 2020 – Anstieg, Umsatz, Kosten

Sie heißen DarkSide, REvil, Dharma, Egregor, Maze, LockBit oder Thanos. Selbst Emotet feiert gerade ein unerfreuliches Comeback: weltweit steigen die Ransomware-Angriffe, scheinbar ungebremst. Dabei nimmt auch ihre Intensität massiv zu: REvil und DarkSide legten die Bank of Scotland und eine wichtige Pipeline an der US-Ostküste lahm. In Deutschland leiden Behörden, Krankenhäuser und ganze Landkreise unter den Ransomware-Angriffen.

Ransomware ist Schadsoftware, die ein System verschlüsselt und den Zugriff auf die Daten nur dann wieder frei gibt, wenn das Opfer ein Lösegeld zahlt. Daher auch der Begriff „Ransom“, englisch für Lösegeld. Häufige Verbreitungswege für Ransomware sind Spam-Mails, Phishing und Drive-by-Exploits. Letztere nutzen Schwachstellen in Browsern, Browser-Plugins, Betriebssystemen und Netzwerkdiensten aus.

Fast alle erfolgreichen Angriffe auf IT-Infrastrukturen in den letzten Jahren gehen auf diesen Typen zurück, der so anders „tickt“ als die Cyber-Kriminellen der vergangenen Jahrzehnte. Das Bedrohungsszenario hat sich geändert, Ransomware wird heute von professionellen Infrastrukturen erstellt und betrieben, diese arbeiten gewinnorientiert und mindestens ebenso effizient wie die Unternehmen und Organisationen, die ihnen als Angriffsziele dienen. Angesichts der neuen Bedrohung müssen diese umdenken, wenn es um den Schutz ihrer Infrastrukturen geht.

Ein wichtiger Grund für den großen Erfolg von Ransomware ist Herstellern zufolge die zunehmende Verbreitung von Cloud-Infrastrukturen. Einerseits benutzen Angreifende selbst Cloud-Dienste, andererseits profitieren sie von der größeren Angriffsfläche, die Unternehmen erst recht in Zeiten von Homeoffice bieten. Ein anderer Grund ist auf fehlende Updates oder falsche Konfigurationen in der Unternehms-IT zurückzuführen. Beide Ursachen erhöhen die Erfolgswahrscheinlichkeit für Angreifende. Die Ressourcen sind jedoch sehr ungleich verteilt: In den letzten Jahren etablierte sich eine weltweit und höchstprofessionell arbeitende Industrie, die Cloud-Dienste für Cyber-Kriminelle anbietet – „Ransomware as a Service“ (RaaS).

Von „Software as a Service“ zu „Ransomware as a Service“

Das Konzept von „Software as a Service“ (SaaS), also IT-Dienste aus der Cloud ohne Software zu erwerben und diese nur nach Nutzung abzurechnen, hat sich seit mehreren Jahrzehnten bewährt. Bekannte SaaS-Anbieter sind Slack, Salesforce und WordPress. Auch große Software-Firmen wie Microsoft mit Microsoft 365 und Adobe mit der Adobe Creative Cloud bieten mittlerweile SaaS-Versionen Ihrer Produkte an. Auch Greenbones Cloud-Service funktioniert nach diesem Modell. Die Vorteile des Services liegen in der Skalierbarkeit, der Flexibilität, der hohen IT-Sicherheit und den strengen Regeln des europäischen Datenschutzes, insbesondere wenn das Hosting in deutschen Rechenzentren erfolgt, wie auch beim Greenbone Cloud Service.

Spätestens 2020 erreichte der Trend auch das Darknet und den Markt der Ransomware-Hacker:innen. Mit dem SaaS-Geschäftsmodell im Hintergrund infiltrieren Angreifende lokale Netze, verschlüsseln Daten und verlangen Lösegeld vom Opfer. RaaS nutzt nun das SaaS-Modell, um Malware effizienter und kostengünstiger unter die Leute zu bringen und Gelder zu erpressen.

Über 60 % aller bekannten Ransomware-Angriffe gingen 2020 bereits auf das Konto von RaaS-Modellen, einem hart umkämpften, aber wachsenden Markt. 15 neue RaaS-Anbieter sollen 2020 hinzugekommen sein. Das Geschäftsmodell ist klar: Die Kundschaft, also potenzielle Hacker:innen oder Angreifende, brauchen keinerlei technische Fähigkeiten mehr, es gibt Rabattaktionen und professionelle Services. All das macht RaaS für Cyber-Kriminelle zunehmend attraktiv und funktioniert offensichtlich, weil ihnen zahllose unzureichend geschützte Infrastrukturen offenstehen.

Die Anzahl der gesamten Ransomware-Angriffe stieg 2020 um fast 500 Prozent. Zwei Drittel davon gehen auf das Konto von RaaS-Angeboten, Tendenz auch 2021 steigend [1]. Mit Ransomware machten Angreifende im Jahr 2020 geschätzt 20 Milliarden US-Dollar Umsatz, nach gut 11 Milliarden in 2019 [2]. RaaS-Angebote gibt es für Hacker:innen ab 40 $/Monat. Wer mehr Service will, kann auch Tausende Dollar investieren [3].

Die durchschnittlichen Kosten für betroffene Firmen für das Aufräumen nach einem Ransomware-Angriff haben sich im Laufe des Jahres 2020 verdoppelt  und betragen in der Regel das Zehnfache der geforderten Lösegelder. Diese wiederum lagen im Jahr 2020 durchschnittlich zwischen 200.000 und 300.000 Dollar [4]. Ob Konzern oder kleines Unternehmen, meist sind die Forderungen gleich hoch, denn nicht jeder Angriff muss erfolgreich sein. Wie auch bei Spam ist die Masse entscheidend.

„Ransomware as a Service“ als Geschäftsmodell

Das Geschäftsmodell von „Ransomware as a Service“ erklären Websites wie die von AppKnox umfassend und anschaulich: RaaS-Organisationen vermieten Software und IT-Infrastrukturen, die von und bei einem externen IT-Dienstleistungsunternehmen betrieben werden. Cyber-Kriminelle mieten sie als Dienstleistung, um Unternehmen oder Privatpersonen anzugreifen und zu erpressen. RaaS-Entwickelnde und -Anbietende sind juristisch auf der sicheren Seite, sie stellen ja „nur“ die Infrastruktur bereit und sind so nicht für den Angriff verantwortlich. Heute kann jeder RaaS-Angriffe buchen, starten und Unternehmen, Behörden oder Privatpersonen erheblichen Schaden zufügen.

Dahinter stecken vier gängige RaaS-Geschäftsmodelle:

  • Monatliche Zahlung (Abo-Modell)
  • Partnerprogramme, zusätzlich zum Abo-Modell gibt es Gewinnbeteiligungen
  • Einmalige Lizenzgebühr
  • Ausschließlich Gewinnbeteiligung

Egal für welches Modell sich Anwendende entscheiden, einige RaaS-Firmen machen es Ihnen sehr einfach: ab ins Darknet, einloggen, Konto anlegen, Modell wählen, ggf. mit Bitcoin zahlen, Schadsoftware verteilen und warten, bis der Erfolg eintritt.

Für das investierte Geld gibt es Service auf Enterprise-Niveau. Ein typisches Produkt enthält nicht nur den Code der Ransomware sowie die Schlüssel zum Ver- und Entschlüsseln, sondern liefert auch gleich die passenden Phishing-E-Mails, um einen Angriff zu starten, eine gute Dokumentation und 24/7-Support. Auch um die Abrechnung, das Monitoring, Updates und Statusberichte, Kalkulation und Prognosen hinsichtlich einer Einnahmen-/Ausgaben-Rechnung wird sich gekümmert.

Potenzielle Opfer sind keineswegs hilflos

Trotz der Professionalität müssen Unternehmen und Behörden nicht tatenlos zusehen. Zwar sieht man sich jetzt anderen Angreifenden gegenüber, macht- und hilflos ist man keineswegs.

Teuer wird es dagegen auf jeden Fall, wenn das Kind schon in den Brunnen gefallen ist: Das FBI warnt regelmäßig davor, auf Forderungen von Erpressenden einzugehen, erst recht nicht bei organisierter Kriminalität und schon gar nicht bei Ransomware. Da hilft dann nur noch der teure, langwierige Neuaufbau oder der Versuch, die Verschlüsselung zu knacken. Günstiger ist es vielmehr, sich vorzubereiten.

Schützen können sich Unternehmen durch einige simple Maßnahmen und konsequentes Einhalten von Best Practices. Backups, an verschiedenen Orten und abgetrennt vom Tagesgeschäft, schützen die Daten. Zwei-Faktor-Authentifizierung behindert Angreifende, die an Passworte kommen konnten. Starke Passwörter sollten heute selbstverständlich sein, genauso wie eine smarte Netzwerksegmentierung. Planung, Incident-Response- und Recovery-Pläne müssen erstellt und regelmäßig getestet werden. Automatisierung, Monitoring und regelmäßige Schulungen der Mitarbeitenden hinsichtlich der IT-Sicherheit (z. B. Phishing-E-Mails) sind ein Muss. Der Automatisierung kommt dabei innerhalb der IT ein besonderer Stellenwert zu, weil die Angriffe bisweilen so schnell erfolgen, dass menschliche Reaktionen ins Leere laufen.

Die Basis für all diese Maßnahmen stellen Lösungen der Endpoint-Protection und des professionellen Schwachstellenmanagements dar. Das Wissen über Verwundbarkeiten und Schwachstellen in den Netzwerken ist hier Gold wert. Admins erkennen die Lücken Ihrer IT-Verteidigung und schließen diese, bevor Cyber-Kriminelle sie missbrauchen können – mit den Greenbone-Lösungen kontinuierlich und automatisch.

Die Produkte von Greenbone untersuchen fortlaufend das Unternehmensnetzwerk oder externe   IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärteten Greenbone Enterprise Appliances oder der als Software as a Service verfügbare Greenbone Cloud Service, dessen Hosting in deutschen Rechenzentren erfolgt, garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren. Auf diese Weise sind Unternehmen auch gut vorbereitet, wenn „Ransomware as a Service“ als Geschäftsmodell weiter zunimmt.

[1] https://www.unityit.com/ransomware-as-a-service/

[2] https://www.pcspezialist.de/blog/2021/06/14/raas-ransomware-as-a-service/

[3] https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

[4] https://www.appknox.com/blog/ransomware-as-a-service

Immer wieder werden deutsche Behörden und Kommunen Ziele von Cyber-Angriffen. Der anschließende Wiederaufbau dauert oft mehrere Monate. Mit einem Schwachstellenmanagement kann das Risiko von Cyber-Angriffen drastisch reduziert werden – denn durch das Beseitigen von Schwachstellen wird Angreifenden die notwendige Grundlage genommen. Auch das Schwachstellenmanagement von Greenbone schützt Behörden – zu Sonderkonditionen.

Landkreise und Krankenhäuser gehackt, ganze IT-Infrastrukturen liegen lahm, zu behandelnde Personen werden ausgelagert, die Bundeswehr muss helfen: Was vor wenigen Jahren noch apokalyptisch anmutete, wurde im Sommer 2021 verstörende Realität. Zum ersten Mal in der deutschen Geschichte wurde der Katastrophenfall ausgerufen, weil sich Angreifende erfolgreich Zugriff auf die Netzwerke von Behörden oder deren Dienstleistenden verschafft hatten. Schwerin, Witten, Bitterfeld, Ludwigslust: Die Liste ist lang und nur großflächiges Deaktivieren der Server half den Betroffenen.

Abschalten hilft nur akut, der Neuaufbau dauert Monate

Wer sind die Angreifenden? Nicht immer ist es im digitalen Raum möglich, die Personen zu finden, die hinter den Taten stecken, sogar dann, wenn erpresserische Geschäftsmodelle und Lösegeldforderungen vorliegen. Meldepflichten und IT-Sicherheitsgesetze helfen den Betroffenen auch nicht konkret dabei weiter, denn der Schaden ist bereits entstanden: In der Regel wissen die Opfer noch nicht einmal gesichert, ob sie gezielt oder per Zufall angegriffen wurden. Die Schadenssummen sind immens, manche Behörden sind Monate mit dem Aufräumen und Wiederherstellen beschäftigt, nicht selten müssen ganze Systemlandschaften neu aufgebaut werden.

Dekoratives Bild einer Behörde

Cyber-Kriminelle nutzen Schwachstellen, die bereits gefixt waren

Warum aber fällt es Angreifenden so leicht, in fremde Netze einzudringen? Die meisten Angriffe, vor allem automatisierte, nutzen eigentlich schon lange geschlossene Schwachstellen für die Einbrüche.

Das funktioniert derzeit so gut, weil sich durch Systempflege allein nicht alle Systeme ausreichend auf Angriffe vorbereiten lassen. Schwachstellen können in Produkten, Systemkomponenten oder deren Konfiguration verborgen sein, die sich in den üblichen Infrastrukturen zu vielen tausenden Angriffspunkten summieren. Da stehen Hintertüren offen, die Angreifende aufspüren können, oft mit relativ einfach zu handhabenden Werkzeugen.

Schwachstellenscanner informieren und helfen, Lücken zu schließen

Dabei sind Admins, Behörden und Firmen keinesfalls machtlos. Was zählt, ist das Wissen über Verwundbarkeiten, Schwachstellen oder offene Flanken in den Netzwerken. Mit den richtigen Tools sind Sie Cyber-Kriminellen immer einen Schritt voraus, weil sie die Lücken Ihrer IT-Verteidigung erkennen, bevor Cyber-Kriminellen dies gelingt – mit den Greenbone-Lösungen klappt das kontinuierlich und automatisch.

Greenbone-Enterprise-Produkte untersuchen fortlaufend das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärtete Appliances – virtuell oder als Hardware verfügbar – oder der als Software-as-a-Service verfügbare Greenbone Cloud Service garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren.

Sonderkonditionen für Behörden

Das erkennen auch mehr und mehr Behörden, die sich im Kampf gegen Cyber-Attacken für Greenbone entscheiden. Greenbone schützt Behörden zu Sonderkonditionen und die Lösungen können einfach über das Kaufhaus des Bundes beschafft werden.

 


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Die Mitarbeitenden von Greenbone entwickeln derzeit einen komplett neuen Scanner für Versionsvergleiche. Greenbones neuer Schwachstellenscanner „Notus“ soll dabei zukünftig den Abgleich von Softwareversionen, CVEs und Patches deutlich beschleunigen.

Scanner-Architektur des neuen Schwachstellenscanners

Ein großer Teil des modernen Schwachstellenmanagements besteht aus dem Vergleich von Softwareversionen. Wer herausfinden will, ob sein Server gegen eine Sicherheitslücke gefeit ist, muss wissen, welche Version einer bestimmten Software auf dieser Maschine läuft. So mag Version 1 von einer Schwachstelle betroffen sein, die in Version 2 bereits gefixt ist. Ob Schwachstellenscanner wie der neue Schwachstellenscanner „Notus“ eine Warnung ausgeben, hängt unter anderem stark vom Ergebnis dieser Vergleiche ab.

Björn Ricks, Unit Lead Services & Platforms bei Greenbone erklärt: „Derlei Aufgaben machten allein mehr als ein Drittel der Arbeit eines Scanners aus, und der von uns speziell für Versionsvergleiche optimierte Scanner soll das deutlich beschleunigen.“

Performance-Engpässe bei klassischen Scannern

Am Anfang der Arbeit eines klassischen Scanners steht ein Advisory mit einer von Fachleuten gefundenen Lücke. Mitarbeitende von Greenbone suchen dann dazu passende (betroffene) Softwareversionen und solche, die den Fehler bereits behoben haben. Diese Informationen müssen nun dem Scanner zur Verfügung gestellt werden.

„Er klappert dann die relevanten Server ab und erfasst dort laufende Software. Für den eigentlichen Scan bekommt er im Wesentlichen nur die Infos über betroffene und gefixte Pakete“, erklärt Ricks. „Beim OpenVAS-Scanner und seinen Vorläufern mussten wir in der Regel pro Versionscheck einen eigenen Prozess starten, das heißt ein separates manuell erstelltes Skript. Diese Skripte automatisch zu generieren ist aufwendig.“

JSON-Daten helfen, den Scanner zu beschleunigen

Der neue Scanner dagegen lädt nur noch die benötigten Daten aus Dateien im JSON-Format, einem einfach lesbaren Klartext-Standard. „Die Logik für die Tests steckt damit nicht mehr in den Skripten. Das hat viele Vorteile: weniger Prozesse, weniger Overhead, weniger Speicherbedarf“. Ricks hält den Ansatz für „deutlich effizienter“.

Elmar Geese, COO von Greenbone erklärt: „Unser neuer Notus-Scanner wird ein Meilenstein für unsere Nutzenden, er wird die Performance deutlich verbessern. Unsere bekannt hohe Erkennungsqualität wie auch die Performance sind zentrale Ziele unserer Produktstrategie, und der neue Scanner unterstützt das optimal.”

Das „Notus“-Projekt besteht aus zwei Teilen: einem „Notus“-Generator, der die JSON-Dateien mit den Informationen über verwundbare RPM-/Debian-Pakete erzeugt und dem „Notus“-Scanner, der diese JSON-Dateien lädt und die Informationen daraus interpretiert. Den neuen Schwachstellenscanner „Notus“ will Greenbone in den nächsten Monaten fertig stellen.

Über Greenbone und OpenVAS

Als das Entwicklungsteam des Schwachstellenscanners Nessus im Jahr 2005 beschloss, nicht mehr unter Open-Source-Lizenzen zu arbeiten und zu einem proprietären Geschäftsmodell zu wechseln, entstanden mehrere Forks von Nessus. Nur einer davon ist noch aktiv: das Open Vulnerability Assessment System (OpenVAS).

Die Gründung von Greenbone im Jahr 2008 verfolgte das Ziel, die Entwicklung von OpenVAS voranzutreiben und Anwendern professionelle Unterstützung für Schwachstellenscans bereitzustellen. Greenbone begann, die Weiterentwicklung von OpenVAS zu leiten, fügte mehrere Softwarekomponenten hinzu und verwandelte OpenVAS so in eine umfangreiche Schwachstellenmanagement-Lösung, die dennoch die Werte der freien Software in sich trägt. Die ersten Appliances kamen im Frühjahr 2010 auf den Markt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht