Beiträge

Ein zweifelhafter Ruf haftet sowohl der Kryptowährung Bitcoin wie auch dem Darknet an. Medien schildern beide gerne als undurchsichtige, kriminelle Parallelwelten. Für Ransomware as a Service sind Bitcoin und Darknet willkommene Werkzeuge. Das organisierte Verbrechen hat sie sich längst zu Nutze gemacht, um seine Geschäfte zu verschleiern, auch wenn die Kriminellen damit keineswegs anonym und sicher vor Strafverfolgung sind.

Ransomware wurde 2021 zur weltweit größten Bedrohung von IT-Systemen. Wer sich erfolgreich davor schützen will, muss auch verstehen, wie die Beteiligten vorgehen. Im ersten Teil dieser Artikelserie ging es um das Geschäftsmodell von Ransomware as a Service. Teil zwei zeigte, warum diese „Professionalisierung“ auch zu einem veränderten Mindset bei den Angreifenden führt. Der dritte Teil erklärt nun, warum die IT-Werkzeuge, die die organisierte Kriminalität zur Bestellung und zur Geldübergabe nutzt, keineswegs sicher sind.

Ransomware as a Service: abstraktes Bild des Bitcoin-Logos

Anonym und sicher?

Bitcoin als Zahlungsmittel und das Darknet erweisen sich als praktisch, hilfreich und attraktiv für Angreifende. Unter dem Deckmantel der vermeintlichen Anonymität wähnen sie sich geschützt vor Strafverfolgung und abgeschirmt von Konsequenzen. Doch das ist ein verbreitetes Missverständnis: Weder Bitcoin noch Darknet sind in der Praxis anonym.

Während die Kryptowährung nie auf Anonymität ausgelegt war, sondern explizit auf Nachvollziehbarkeit von Transaktionen auch ohne zuverlässige zentrale Autorität, erweist sich das Darknet als nicht mal ansatzweise so anonym wie seine Macher es sich gewünscht hätten. Das zeigen auch Berichte wie die jüngsten über die „Deanonymisierungsangriffe“ von KAX17 auf das Tor-Netzwerk. Fast immer reicht der Strafverfolgung klassische Ermittlungsmethoden, um auch Ransomware-Agierende wie die REvil-Gruppe ausfindig zu machen. Die hatte laut Heise in mehr als 5.000 Infektionen eine halbe Million Euro an Lösegeldern eingetrieben.

Nie eine gute Idee: mit Kriminellen kooperieren

Egal, ob online oder offline, wer sich mit Erpressenden einlässt, ist verlassen. Als guter Rat gilt wie im richtigen Leben: niemals Lösegeld bezahlen. Ganz egal wie professionell die Hotline am anderen Ende auch scheint, Vertrauen ist nicht angebracht. Die Betreibenden von REvils Ransomware as a Service beispielsweise stahlen ihren Auftraggebenden sogar die erpressten Lösegelder über eine Backdoor in der Malware.

Dabei hatte alles so freundlich und idealistisch angefangen. Roger Dingledine und Nick Mathewson legten die Grundsteine für das Tor-Netzwerk Anfang der 2000er Jahre. Basierend auf der Idee der Zwiebelringe sollten zahlreiche kryptographisch gesicherte Schichten übereinander für zuverlässige Anonymität im Web sorgen – ihrer Meinung nach ein Grundrecht, analog zur Privacy-Definition von Eric Hughes „Cypherpunk’s Manifesto“. 2009 erblickte dann Bitcoin das Licht der Welt, erstmals beschrieben durch die fast schon mystische Figur des Satoshi Nakamoto.

Darknet und Bitcoin sind nicht „kriminell“

Weder Darknet noch Bitcoin wurden entworfen, um dunkle Machenschaften zu verschleiern oder zu ermöglichen. Ziel war das Schaffen freier, unabhängiger, vermeintlich unkontrollierbarer und weitgehend sicherer Strukturen für Informationsaustausch und Bezahlung. Wie ein Messer lassen sich die Dienste jedoch sowohl für Gutes als auch für Böses instrumentalisieren – und natürlich weiß die organisierte Kriminalität das für sich zu nutzen. Nicht immer liegt dabei der Schwerpunkt darauf, keine Spuren zu hinterlassen. Meist steht die Einfachheit und Verfügbarkeit der Mittel im Vordergrund. Bitcoin und das Darknet sind schlicht die Tools der Wahl, weil sie da sind.

Aber wie in der realen Welt schnappt man die Erpressenden am einfachsten bei der Geldübergabe: Eine Blockchain wie Bitcoin dokumentiert alle jemals getätigten Transaktionen inklusive der Wallet-Informationen (also den Bitcoin-Besitzenden) und macht sie jederzeit einsehbar. Gleiches gilt für das Darknet: Selbst, wenn technisch Anonymität möglich ist, scheitern Menschen regelmäßig an den einfachsten Anforderungen. Da finden sich dann GPS-Meta-Daten in Fotos oder UPS-Codes im illegalen Shop. Der legendäre Drogenshop Silkroad flog auf, weil Mitarbeitende Fehler machten und geständig waren.

Digitalisierte, organisierte Kriminalität

Das Darknet und die Kryptowährungen sind hilfreiche Werkzeuge für die organisierte Kriminalität und damit Brandbeschleuniger für die schnell wachsende Anzahl an gravierenden Ransomware-Attacken. Aber sie sind keineswegs essenziell, noch trifft sie eine Schuld. Derartige Cyber-Kriminalität ist nur die moderne IT-Variante dessen, was wir auch auf den Straßen beliebiger Großstädte erleben können. Ransomware ist sozusagen die moderne Schutzgelderpressung, Bitcoin der Abfalleimer für die Übergabe, das Darknet die dunkle Kneipe, in der Deals vereinbart werden.

Das Perfide steckt nicht in den Werkzeugen, sondern in den Methoden und der langen Erfahrung im „Business“. Trend Micro beschreibt beispielsweise den Ansatz der „Double Extortion Ransomware“. Dabei machen sich Angreifende erst ein Bild über die Daten und drohen, diese bei Nicht-Bezahlen (also bei Nicht-Entschlüsselung) zu veröffentlichen. Organisierte Kriminalität betreibt das Geschäft mit der Erpressung nicht erst seit es Bitcoin oder das Darknet gibt. Auch wenn die beiden Technologien es Cyber-Kriminellen heute ermöglichen, zunächst unerkannt große Geldsummen zu erpressen, reichen herkömmliche Methoden fast immer zur Aufklärung. Wichtigste Voraussetzung dabei ist, dass genug Personal für die Strafverfolgung zur Verfügung steht, nicht in erster Linie dessen technische Ausstattung.

Vorsorge treffen

Doch zu diesem Zeitpunkt ist das Kind im Unternehmen bereits in den Brunnen gefallen. Wer vor seinen verschlüsselten Daten steht und sich einer Lösegeldforderung gegenübersieht, dem sind das Darknet, Bitcoin und die Aufklärungsquote vermutlich erst mal zweitrangig. Viel wichtiger ist die Frage, wie man aus der misslichen Lage wieder herauskommt. Und das gelingt nur, wenn man vorbereitet war. Dazu gehören Backups, Restore-Tests und das sofortige Abtrennen aller betroffenen Maschinen (Network Split) – also proaktives Risikomanagement, Desaster Recovery Tests und stetige Pflege der eigenen Systeme. Ein weiterer wichtiger Baustein ist die Multi-Faktor-Authentifizierung, die verhindert, dass sich Angreifende allein durch erworbene Passwörter von einem System zum nächsten hangeln.

Am wichtigsten ist es jedoch, gar nicht erst in kritische Situationen zu gelangen und Schwachstellen in den eigenen Systemen zu erkennen und schnell zu schließen. Modernes Schwachstellenmanagement wie das von Greenbone leistet genau das: Es legt Angreifenden Steine in den Weg und macht das Firmennetzwerk unattraktiv, aufwändig und somit abschreckend für die professionellen Cyber-Kriminellen, nicht nur aus der Ransomware-as-a-Service-Welt.

Die Produkte von Greenbone überwachen das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen, indem sie es fortlaufend und vollautomatisch untersuchen und garantieren als Greenbone Enterprise Appliances oder dem Greenbone Cloud Service (in deutschen Rechenzentren gehostete Software as a Service) Sicherheit durch stets aktuelle Scans und Tests.

Wie das funktioniert, beschreibt Elmar Geese, CIO/CMO bei Greenbone, ebenfalls hier im Blog anhand eines Posts rund um die log4j-Schwachstelle. Außerdem erklärt Geese, wie schnell und sicher die Administration und das Management auch bei den neuesten Schwachstellen informiert wird und wie genau der Scan nach Schwachstellen wie Log4Shell abläuft.


Wir sind stolz darauf, dass wir Ende 2021 die ISO-Zertifizierung unserer Managementsysteme für die Aspekte Qualität (ISO 9001) und Informationssicherheit (ISO 27001) erhalten haben.

Logos der ISO-Zertifizierung unserer Managementsysteme

Unser Erfolg lässt uns wachsen, und unser Wachstum fördert Strukturen und Prozesse. Deshalb begleiten wir aktiv die Entstehung von Strukturen und Prozessen noch stärker als in der Vergangenheit. Dabei orientieren wir uns an den folgenden Zielen:

  • Werte für unsere Kundschaft schaffen
  • Großartige Produkte und Dienstleistungen bereitstellen
  • Die Zufriedenheit unserer Mitarbeitenden stetig steigern
  • Förderung und Bewältigung unseres Wachstums

Als wir uns entschlossen haben, die Informationssicherheit und Qualität in unserem Unternehmen nach den Normen ISO 27001 und ISO 9001 zu zertifizieren, haben wir von Anfang an die Besonderheiten eines agilen Unternehmens berücksichtigt.

ISO-zertifizierte Managementsysteme und agiles Management scheinen ein Widerspruch zu sein, sind es aber nicht. In diesem Artikel werden wir kurz erläutern, wie sich diese beiden Welten perfekt ergänzen und wie wir die jeweiligen Vorteile in einem Unternehmen vereinen.

Obwohl Agilität kein Ziel an sich ist, waren wir uns bewusst, dass wir ein agiles Unternehmen auf eine agile Weise führen wollen. Wir verstehen das so:

  • Wir haben ein gemeinsames Ziel.
  • Klarheit und Eindeutigkeit in der Kommunikation sind Voraussetzung für ergebnisorientiertes Handeln.
  • Hierarchien sind Werkzeuge, keine Statusfunktionen.
  • Prozesse sind Wege zum Ziel, nicht Ziele an sich.

Wir haben erkannt, dass wir in den verschiedenen Bereichen unserer Organisation idealerweise einen möglichst universellen Werkzeugkasten einsetzen können, der uns einerseits hilft, unsere Prozesse bestmöglich zu organisieren und andererseits genügend Freiraum für die unterschiedlichen Bedürfnisse der verschiedenen Teams und Bereiche lässt.

Die Konzepte aus so unterschiedlichen Welten wie „ISO“ und „Agile“ haben uns dabei geholfen und helfen uns weiterhin. Sie haben gemeinsam, dass die Konzepte Managementsysteme erfordern, die in ihrer Grundstruktur ähnlicher sind, als man denkt.

Es geht immer um:

  • Fokussierung auf hinreichend klar definierte Ziele
  • Verlässliche und angemessene Leitlinien
  • Nachvollziehbar definierte und hilfreiche Prozesse
  • Messpunkte, um zu bewerten, anzupassen und ggf. zu verändern
  • Unterstützende Teammitglieder und dienende Führungskräfte, die innerhalb dieser Struktur agieren
  • Ein kontinuierlicher Verbesserungsprozess

Dies ist es, was wir ein Managementsystem nennen und die ihm innewohnende Agilität wird durch den Kontext und den Zweck definiert, wenn es angewendet wird. Es ermöglicht uns, die Ergebnisse und die Qualität der Prozesse anhand eines Systems von Zielen und Leistungsindikatoren zu messen.

Wir sind stolz und glücklich, dass wir unsere Managementsysteme nun sehr erfolgreich für die Aspekte „Qualität“ (ISO 9001) und „Informationssicherheit“ (ISO 27001) zertifizieren konnten. Es hilft uns und es hilft auch Ihnen als unsere Kundschaft. Es dokumentiert messbar zwei sehr wichtige Eigenschaften, die Sie von uns und unseren Produkten und Dienstleistungen erwarten und die Sie letztlich durch den Einsatz unserer Produkte in Ihrer eigenen Organisation sicherstellen wollen, nämlich:

  • Sicherheit und
  • Qualität der informationstechnischen Systeme

Es ist unsere Aufgabe bei Greenbone, dies durch eines der führenden Produkte für das Schwachstellenmanagement zu gewährleisten. Das tun wir jeden Tag, in über 100.000 Organisationen auf der ganzen Welt.


Log4j war von einer Schwachstelle betroffen, die Remote-Code-Execution-Angriffe (RCE-Angriffe) ermöglichte. Kurz gesagt, konnten Benutzereingaben in eine Software zu einer Codeausführung auf einem entfernten Server führen. Dies stellt ein schwerwiegendes Sicherheitsrisiko dar. Die Schwachstelle wurde „Log4Shell“ (CVE-2021-44228) genannt und sofort vom Log4j-Team behoben. In den folgenden Tagen wurden weitere Log4j-Schwachstellen gefunden. Diese haben zwar nicht die gleichen Auswirkungen wie die erste, können aber ebenfalls schwere Schäden verursachen. Aus diesem Grund ist es sehr wichtig, die Systeme zu überprüfen und immer auf die neuesten Versionen zu aktualisieren.

Da Log4j in zahlreichen Softwareprodukten enthalten ist, mussten und müssen auch die Hersteller der Produkte Updates bereitstellen. Dies ist noch nicht abgeschlossen und es könnten in Zukunft weitere Log4j-Schwachstellen auftauchen.

Als ein bewegliches Ziel bekommt Log4j immer noch viel Aufmerksamkeit, unter verschiedenen Aspekten:

  • Neue (und glücklicherweise weniger schwerwiegende) Sicherheitslücken werden gefunden.
  • Es entstehen neue Initiativen zur proaktiven Überprüfung von Log4-Quellen, wie zum Beispiel die Initiative von Google: Improving OSS-Fuzz and Jazzer to catch Log4Shell
  • Bei Greenbone erstellen wir noch mehr Schwachstellentests, um eine bessere Testabdeckung zu erreichen, und stellen sie täglich für unsere Produkte bereit.

Wir haben bereits eine ziemlich gute CVE-Abdeckung für die zusätzlichen Log4j-Schwachstellen, die in den letzten Tagen veröffentlicht wurden, erzielt, einschließlich:

  • CVE-2021-44228
  • CVE-2021-4104
  • CVE-2021-45046
  • CVE-2021-45105

Wie bereits erwähnt, hören wir hier nicht auf. Weitere lokale Sicherheitsprüfungen werden heute und morgen folgen, sobald die Linux-Distributionen ihre Advisories veröffentlicht haben.

Wir haben bereits einige Fakten über Log4j und den Umgang damit in unseren letzten Beiträgen veröffentlicht:


Update vom 20.12.2021: Informationen über weitere Schwachstellen, die für Log4j gefunden wurden, finden Sie hier.


Update vom 20.12.2021: Es sind nun auch Schwachstellentests für Produkte unter Microsoft Windows verfügbar.

Hinweis: Die Tests prüfen die Existenz von Log4j und dessen Version. Ein separater Schwachstellentest ist möglicherweise nicht für jede betroffene Anwendung verfügbar, aber alle Log4j-Dateien werden gefunden und gemeldet (/pfad-zur-log4j-datei/).

Die ausgegebenen Installationspfade müssen geprüft und ggf. der Hersteller kontaktiert werden. Es muss geprüft werden, ob für die jeweilige Anwendung bereits Updates verfügbar sind und ob der Fund relevant ist.

PowerShell-Ausführungsberechtigungen auf einem Zielsystem sind für den Account erforderlich, der in einem authentifizierten Scan verwendet wird. Einige Schwachstellentests führen PowerShell-Befehle aus, um die Genauigkeit der Ergebnisse zu erhöhen, wofür Berechtigungen für die Dauer eines Scans erforderlich sind.


Update vom 15.12.2021: ein zusätzlicher Angriffsvektor wurde identifiziert und in CVE-2021-45046 gemeldet. Wir arbeiten an Schwachstellentests für diesen Vektor, obwohl unsere Tests auch für diesen zusätzlichen Fall funktionieren. Wir empfehlen, auf die neueste Log4j-Version zu aktualisieren. Der Angriff ist komplizierter und ein Schutz erfordert eine andere Konfiguration. Da es sich aber um einen sehr neuen Vektor handelt, raten wir, besser auf Nummer sicher zu gehen. Mehr Informationen unter https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/.


Dieser Artikel enthält Antworten auf die am häufigsten gestellten Fragen zu Greenbones Log4j-Schwachstellentests.

Worum handelt es sich bei der Log4j-Schwachstelle?

Die „Log4Shell“-Schwachstelle betrifft eine Softwarebibliothek, die für die Aufzeichnung von Ereignissen (das so genannte „Logging“) in Software zuständig ist, die in der Programmiersprache Java geschrieben wurde. Böswillige Angreifende können diese Sicherheitslücke nutzen, um Code auf den betroffenen Systemen auszuführen.

Da diese Schwachstelle über das Internet und ohne jegliche Authentifizierung ausgenutzt werden kann, kann dies für betroffene Systeme und Unternehmen sehr kritisch sein. Da die Software auch in einer Vielzahl von Software und Diensten enthalten ist, die über das Internet zugänglich sind, sind wahrscheinlich viele Unternehmen und Dienste betroffen.

Weitere Informationen zu dieser Sicherheitslücke finden Sie hier:

Sind Greenbone-Produkte und -Dienste betroffen?

Wir haben den Status der möglicherweise betroffenen Systeme mit höchster Priorität überprüft. Keine unserer Produkte oder intern und extern erbrachten Dienstleistungen sind betroffen.

Können Greenbone-Produkte diese Schwachstelle erkennen?

Ja, Schwachstellentests wurden in den Greenbone Community Feed und in den Greenbone Enterprise Feed integriert, beginnend mit Feed-Version 202112130808. Dies bedeutet, dass sowohl unsere Appliances als auch unser Cloud-Produkt in der Lage sind, diese Sicherheitslücke zu erkennen.

Es sind zwar Schwachstellentests verfügbar, aber aufgrund der Komplexität dieser Sicherheitslücke kann nicht garantiert werden, dass eine Erkennung jedes einzelne betroffene System oder Produkt findet. Dies gilt insbesondere für nicht-authentifizierte „Remote“-Überprüfungen, und zwar aus den folgenden Gründen:

  • Das Produkt oder der Dienst könnte nur unter ganz bestimmten Umständen verwundbar sein. Da die Log4j-Bibliothek sehr komplex und hochgradig konfigurierbar ist und in vielen Produkten unterschiedlich eingesetzt wird, ist es nicht möglich, alle verwundbaren Instanzen durch eine Remote-Prüfung zu finden.
  • Sicherheitskonfigurationen im zu scannenden Netzwerk können eine erfolgreiche Überprüfung der Schwachstelle verhindern.
  • Produkte und Dienste können auch indirekt betroffen sein.

Eine spezielle Scan-Konfiguration zur direkten und schnellstmöglichen Erkennung dieser Sicherheitslücke ist ebenfalls über beide Feeds verfügbar. Bitte beachten Sie, dass die aktuelle Scan-Konfiguration nur aktive Prüfungen (remote und lokal) enthält. Paketversionsprüfungen sind nicht enthalten, um die Scan-Konfiguration und damit die Scanzeit minimal zu halten.

Ist die Erkennung im Greenbone Community Feed enthalten?

Ja. In beiden Feeds ist eine grundlegende Erkennung der Sicherheitslücke enthalten. Zusätzliche Schwachstellentests für potenziell betroffene Unternehmensprodukte sind über den Greenbone Enterprise Feed verfügbar.

Welche Erkennung ist in welchem Feed enthalten?

Greenbone Enterprise Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Enterprise Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Apache Struts 2.5.x Log4j RCE Vulnerability (Log4Shell)
  • Apache Druid < 0.22.1 Multiple Vulnerabilities (Log4Shell)
  • Apache Flink < 1.13.4, 1.14.x < 1.14.1 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check
  • Apache Solr 7.x, 8.x Log4j RCE Vulnerability (Log4Shell) – Version Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Version Check
  • VMware Workspace ONE Access Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Operations Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Log Insight Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Automation Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Orchestrator Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Active Check
  • ArcGIS Server <= 10.7.1 Log4j RCE Vulnerability (Log4Shell)
  • Metabase < 0.41.4 Log4j RCE Vulnerability (Log4Shell)
  • Splunk 8.1.x, 8.2.x Log4j RCE Vulnerability (Log4Shell)
  • Wowza Streaming Engine <= 4.8.16 Log4j RCE Vulnerability (Log4Shell)
  • SonicWall Email Security 10.x Log4j RCE Vulnerability (SNWLID-2021-0032, Log4Shell)
  • IBM WebSphere Application Server Log4j RCE Vulnerability (6525706, Log4Shell)
Greenbone Community Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Community Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Consolidation of Apache Log4j detections
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check

Über authentifizierte/unauthentifizierte Tests

Für einige Versionsprüfungen ist eine Authentifizierung erforderlich, für andere nicht. Außerdem können einige beides haben.

Die entsprechenden Informationen sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Die „Qualität der Erkennung“ enthält Informationen über die Erkennungsmethode. Ein Wert von „package (97 %)“ deutet auf eine authentifizierte Prüfung hin, andere Werte wie „remote_banner (80 %)“ geschehen unauthentifiziert.

Weitere technische Informationen hierzu finden Sie unter https://docs.greenbone.net/GSM-Manual/gos-21.04/de/reports.html#quality-of-detection-concept.

Über aktive Tests/Testprüfungsversion, QoD

Sie können anhand des QoD und der „Erkennungsmethode“ auf der Web-Oberfläche erkennen, ob es sich um eine aktive Prüfung handelt, wenn Sie sich die Details des Schwachstellentests anzeigen lassen.

Hinweis: Nur Systeme, die tatsächlich Eingaben protokollieren, die von Angreifenden verändert werden können (z. B. bestimmte HTTP-Anfrage-Header, URLs, …), sind verwundbar.

Die Erkennungsmethode, die Qualität der Erkennung, die Schadensminderung und viele weitere Details sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Scannen nach Knoten auf separaten VRFs & VLANs

  • Out-of-band-Scanning (OOB) ist derzeit nicht möglich. Bitte scannen Sie in jedem Segment.
  • Wir denken, dass eine solche Out-of-band-Kommunikation (OOB)/externe Interaktionsmöglichkeit in Zukunft integriert werden kann.


Immer wieder werden deutsche Behörden und Kommunen Ziele von Cyber-Angriffen. Der anschließende Wiederaufbau dauert oft mehrere Monate. Mit einem Schwachstellenmanagement kann das Risiko von Cyber-Angriffen drastisch reduziert werden – denn durch das Beseitigen von Schwachstellen wird Angreifenden die notwendige Grundlage genommen. Auch das Schwachstellenmanagement von Greenbone schützt Behörden – zu Sonderkonditionen.

Landkreise und Krankenhäuser gehackt, ganze IT-Infrastrukturen liegen lahm, zu behandelnde Personen werden ausgelagert, die Bundeswehr muss helfen: Was vor wenigen Jahren noch apokalyptisch anmutete, wurde im Sommer 2021 verstörende Realität. Zum ersten Mal in der deutschen Geschichte wurde der Katastrophenfall ausgerufen, weil sich Angreifende erfolgreich Zugriff auf die Netzwerke von Behörden oder deren Dienstleistenden verschafft hatten. Schwerin, Witten, Bitterfeld, Ludwigslust: Die Liste ist lang und nur großflächiges Deaktivieren der Server half den Betroffenen.

Abschalten hilft nur akut, der Neuaufbau dauert Monate

Wer sind die Angreifenden? Nicht immer ist es im digitalen Raum möglich, die Personen zu finden, die hinter den Taten stecken, sogar dann, wenn erpresserische Geschäftsmodelle und Lösegeldforderungen vorliegen. Meldepflichten und IT-Sicherheitsgesetze helfen den Betroffenen auch nicht konkret dabei weiter, denn der Schaden ist bereits entstanden: In der Regel wissen die Opfer noch nicht einmal gesichert, ob sie gezielt oder per Zufall angegriffen wurden. Die Schadenssummen sind immens, manche Behörden sind Monate mit dem Aufräumen und Wiederherstellen beschäftigt, nicht selten müssen ganze Systemlandschaften neu aufgebaut werden.

Dekoratives Bild einer Behörde

Cyber-Kriminelle nutzen Schwachstellen, die bereits gefixt waren

Warum aber fällt es Angreifenden so leicht, in fremde Netze einzudringen? Die meisten Angriffe, vor allem automatisierte, nutzen eigentlich schon lange geschlossene Schwachstellen für die Einbrüche.

Das funktioniert derzeit so gut, weil sich durch Systempflege allein nicht alle Systeme ausreichend auf Angriffe vorbereiten lassen. Schwachstellen können in Produkten, Systemkomponenten oder deren Konfiguration verborgen sein, die sich in den üblichen Infrastrukturen zu vielen tausenden Angriffspunkten summieren. Da stehen Hintertüren offen, die Angreifende aufspüren können, oft mit relativ einfach zu handhabenden Werkzeugen.

Schwachstellenscanner informieren und helfen, Lücken zu schließen

Dabei sind Admins, Behörden und Firmen keinesfalls machtlos. Was zählt, ist das Wissen über Verwundbarkeiten, Schwachstellen oder offene Flanken in den Netzwerken. Mit den richtigen Tools sind Sie Cyber-Kriminellen immer einen Schritt voraus, weil sie die Lücken Ihrer IT-Verteidigung erkennen, bevor Cyber-Kriminellen dies gelingt – mit den Greenbone-Lösungen klappt das kontinuierlich und automatisch.

Greenbone-Enterprise-Produkte untersuchen fortlaufend das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärtete Appliances – virtuell oder als Hardware verfügbar – oder der als Software-as-a-Service verfügbare Greenbone Cloud Service garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren.

Sonderkonditionen für Behörden

Das erkennen auch mehr und mehr Behörden, die sich im Kampf gegen Cyber-Attacken für Greenbone entscheiden. Greenbone schützt Behörden zu Sonderkonditionen und die Lösungen können einfach über das Kaufhaus des Bundes beschafft werden.

 


Mithilfe der Greenbone-Produkte können bekannte Schwachstellen in einer IT-Infrastruktur aufgespürt werden, um sie anschließend zu beseitigen. Den Schweregrad einer Schwachstelle zu bewerten, ist ein essenzielles Hilfsmittel, um die nachfolgenden Beseitigungsmaßnahmen zu planen und zu priorisieren. CVSS bietet solch eine Bewertung nach einem Kennzahlensystem. Seit 2021 unterstützen die aktuellen Greenbone-Lösungen auch die CVSS-Versionen 3.0 und 3.1. Zur selben Zeit hat Greenbone begonnen, alle Schwachstellentests, für die eine entsprechende Bewertung verfügbar ist, mit dieser zu versehen. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen und es gibt – soweit möglich – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Hilfreiche Schweregrad-Kennzahlen

Jeder Cyber-Angriff benötigt eine Schwachstelle, um erfolgreich zu sein. Die meisten Schwachstellen, nämlich 999 von 1.000, sind bereits seit über einem Jahr bekannt und können daher proaktiv aufgedeckt und beseitigt werden. Zur Erkennung kommt dabei ein Greenbone-Schwachstellenscanner zum Einsatz, welcher die bekannten Schwachstellen in einer IT-Infrastruktur aufspürt.

Werden Schwachstellen aufgedeckt, können sie anschließend mit den unterschiedlichsten Maßnahmen beseitigt werden. Die am dringendsten zu beseitigenden Schwachstellen sind die, die ein kritisches Risiko für das IT-System darstellen. Für die Auswahl der Maßnahmen und der Reihenfolge, wird eine Priorisierung benötigt.

Zur Priorisierung ist der Schweregrad ein essenzielles Mittel. Wie Schwachstellen aber überhaupt einen Schweregrad erhalten und wie dieser berechnet wird, schauen wir uns hier einmal genauer an.

Wie Bewertungen des Schweregrads entstehen

In der Vergangenheit entdeckten und meldeten unterschiedliche Organisationen und Security-Research-Teams Schwachstellen zur gleichen Zeit und benannten diese mit unterschiedlichen Namen. Dies führte dazu, dass die gleiche Schwachstelle von z. B. mehreren Scannern unter unterschiedlichen Namen gemeldet wurde, was die Kommunikation und den Vergleich der Ergebnisse erschwerte.

Um das zu beheben, gründete MITRE das Projekt „Common Vulnerabilities and Exposures“ (CVE). Jeder Schwachstelle erhielt als zentrale Referenz eine eindeutige Kennzeichnung, die aus dem Veröffentlichungsjahr und einer einfachen Nummer besteht. Die CVE-Datenbank wird genutzt, um Schwachstellen-Datenbanken mit anderen Systemen zu verbinden und den Vergleich von Sicherheitswerkzeugen und -diensten zu ermöglichen.

CVEs enthalten somit keine detaillierten, technischen Informationen oder Informationen bezüglich der Risiken, Auswirkungen oder Beseitigung einer Schwachstelle. In manchen Fällen ist die Version hinterlegt, in der die Schwachstelle beseitigt wurde.

Nähere Informationen zu einer Schwachstelle finden sich in der National Vulnerability Database (NVD). Die NVD – ein Datenspeicher für das Schwachstellenmanagement der US-Regierung – ergänzt die CVEs mit Informationen bezüglich der Beseitigung, den möglichen Auswirkungen, den betroffenen Produkten und auch dem Schweregrad einer Schwachstelle.

Wie berechnet sich der Schweregrad einer Schwachstelle?

Um die Bewertung von Schwachstellen zu ermöglichen, wurde das Common Vulnerability Scoring System (CVSS) entwickelt. Das CVSS ist ein Industriestandard zum Beschreiben der Schweregrade von Sicherheitsrisiken in IT-Systemen. Es wurde von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Response and Security Teams (FIRST) entwickelt. Die neueste CVSS-Version ist 3.1.
Der CVSS-Score bewertet Schwachstellen hinsichtlicht verschiedener Kritierien, sogenannter „Metrics“: Base-Score-Metrics, Temporal-Score-Metrics und Environmental-Score-Metrics.

  • Base-Score-Metrics: Die Base-Score-Metrics stellen die grundlegenden Merkmale einer Schwachstelle dar, die unabhängig von der Zeit und der IT-Umgebung sind: Wie gut lässt sich die Schwachstelle ausnutzen und welche Auswirkungen hat dies?
  • Temporal-Score-Metrics: Die Temporal-Score-Metrics stellen Eigenschaften dar, die sich über die Zeit ändern können, aber in unterschiedlichen IT-Umgebungen gleich sind. So würde beispielsweise das Bereitstellen eines Patches durch das bereitstellende Unternehmen den Score senken.
  • Environmental-Score-Metrics: Die Environmental-Score-Metrics stellen die Merkmale dar, die für eine spezifische IT-Umgebung gelten. Relevant sind hierbei, wie gut die betroffene Organisation erfolgreiche Angriffe abfangen können oder welchen Stellenwert ein bestimmtes angreifbares System innerhalb der IT-Infrastruktur hat.

Da im Allgemeinen lediglich die Base-Score-Metrics aussagekräftig sind und dauerhaft bestimmt werden können, werden in der Regel nur diese veröffentlicht und genutzt.

CVSSv3.0/v3.1-Unterstützung seit GOS 21.04

Seit GOS 21.04, welches im April 2021 veröffentlich wurde, werden auch die Versionen 3.0 und 3.1 von CVSS unterstützt. Zwar enthalten einige CVEs – und somit auch die zugehörigen Schwachstellentests – weiterhin CVSS-Daten der Version 2, allerdings betrifft dies hauptsächlich ältere CVEs aus dem Jahr 2015 und früher, für die in der NVD noch keinen CVSS-v3.0/v3.1-Score hinterlegt sind.

Blicken wir auf die größten Änderungen, die die Versionen 3.0 und 3.1 beinhalten.

Im Vergleich zu CVSS Version 2.0 wurden in Version 3.0 zwar die Hauptgruppen der Metrics – Base, Temporal und Environmental – beibehalten, aber neue Kriterien hinzugefügt. Beispielsweise die Metrics „Scope (S)“, was angibt, ob eine Schwachstelle auch andere Bestandteile eines IT-Netzwerks beeinträchtigen kann und „User Interaction (UI)“.

Auch wurden einige bereits vorhandene Kriterien durch neuere ersetzt: so wurde „Authentication (Au)“ zu „Privileges Required (PR)“. Gemessen wird nicht mehr, wie oft sich Angreifende bei einem System authentifizieren müssen, sondern welches Zugriffslevel für einen erfolgreichen Angriff notwendig ist.

Außerdem wurden die Schweregrade feiner unterteilt. In Version 2.0 wurden die Werte von 0 bis 10 auf drei Schweregrade aufgeteilt: „Low“ (0,0 – 3,9), „Medium“ (4,9 – 6,9) und „High“ (7,0 – 10,0). Seit Version 3.0 gibt es fünf Stufen: „None“ (0,0), „Low“ (0,1 – 3,9), „Medium“ (4,0 – 6,9), „High“ (7,0 – 8,9) und „Critical“ (9,0 – 10,0).

CVSS-Version 3.1 brachte keine Änderungen an den Metrics oder den Berechnungsformeln mit sich. Stattdessen lag der Fokus darauf, herauszustellen, dass CVSS den Schweregrad einer Schwachstelle misst und nicht das Risiko, welches sie darstellt. Ein weit verbreiteter Fehler war es, den CVSS-Score als alleiniges Merkmal für das Risiko einer Schwachstelle zu sehen und keine vollumfängliche Risikobewertung vorzunehmen.

In diesem Zuge wurden die Definitionen der Metrics eindeutiger formuliert und das Glossar erweitert.

Vollständige CVSSv3.0/v3.1-Abdeckung im Feed

Mit der Unterstützung von CVSS-v3.0/v3.1 im April 2021 begann Greenbone damit, alle Schwachstellentests, denen ein CVSSv3.0/v3.1-Score in der NVD zugewiesen wurde, zu aktualisieren und mit einem CVSSv3.0/v3.1-Score zu versehen.

Dies erfolgte in täglichen Etappen von 500 – 600 Schwachstellentests. Die Aktualisierung und Umstellung wurde dabei gründlich reviewt und geprüft. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen. Somit gibt es – soweit es möglich ist – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Osnabrück, 27. Februar 2020 – Greenbone, Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, verstärkt mit Elmar Geese als Chief Operating Officer (COO) das Management. Geese ist seit Anfang 2020 bei Greenbone tätig und kümmert sich seitdem vor allem um Strategie, Prozessoptimierung und Controlling. Die Position wurde neu geschaffen, um das anhaltend starke Wachstum von Greenbone auch auf Management-Ebene weiter zu unterstützen.

Elmar Geese ist seit Anfang 2020 Teil des Management-Teams von Greenbone. Der Schwerpunkt seiner Tätigkeit liegt auf Strategie, Prozessoptimierung und Controlling. In seinem Schaffen will er den Mehrwert der Greenbone-Produkte für die Kunden noch wirksamer werden lassen. „Greenbone hat mit seinen Lösungen für intelligentes Schwachstellen-Management das Potenzial, sich von einem europäischen Marktführer zum internationalen Player zu entwickeln“, so Geese. „Die Sicherheit von Informationssystemen ist für Unternehmen und unsere moderne Gesellschaft elementar. Das zeigen die vielen Sicherheitsvorfälle, von denen wir mittlerweile täglich erfahren. Greenbone leistet einen entscheidenden Beitrag, unsere Welt sicherer zu machen. Ich freue mich darauf, mich hier entscheidend einbringen zu dürfen.“

Jan-Oliver Wagner, Greenbone Gründer und CEO, ergänzt: „Greenbone wächst kontinuierlich. Aktuell arbeiten wir daran, unsere Schwachstellen-Management-Lösung auch als Managed Service zur Verfügung zu stellen. Davon profitieren vor allem Unternehmen, die Inhouse nicht die personellen oder zeitlichen Kapazitäten für eine umfassende Schwachstellen-Analyse mit Hardware-Modulen haben. Mit Elmar Geese haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns im Management unterstützt. Wir freuen uns sehr auf die Zusammenarbeit und sind zuversichtlich, dass wir mit ihm an Bord die Aufgaben, die ein schnelles Unternehmenswachstum mit sich bringt, mit Leichtigkeit bewältigen.“

Elmar Geese blickt auf eine langjährige Management-Erfahrung zurück. Er ist seit mehr als drei Jahrzehnten als Gründer, Manager und Berater im Bereich Informationstechnologie tätig. Zuletzt war er als CIO beim Berliner Gesundheits-Startup machtfit für deren SaaS-Plattform für betriebliches Gesundheitsmanagement verantwortlich. Dort hat er als Leiter der Produktentwicklung und -betriebs dazu beigetragen, Kunden wie die Bayer AG, die Deutsche Bahn, Lufthansa, Edeka und Lanxess dauerhaft für das Unternehmen zu gewinnen.