Bedrohungen und Risiken

Online-Banking Trojaner benötigen für Man-in-the-Browser-Attacken nur Benutzer-Rechte

DDoS-Attacken bedürfen keiner Admin-Rechte

Linux und MAC-OS enthalten ebenso Lücken wie Windows

Durch die geringe Verbreitung sind sie für Angreifer weniger attraktiv

Aktuelle Trojaner tarnen sich als Video-Codecs oder verstecken sich in (illegalen) Installationspaketen

Phishing ist das OS egal

Regelmäßige Sicherheitspatches über Update-Dienst

Angriffsziele vor allem Adobe (Reader), Flash Player, Quicktime

Einblick in vertrauliche Informationen wie Betriebsgeheimnisse, Zugangsinformationen, Passwörter für Bankkonten etc.

Nutzung der Rechner im LAN für die Zwecke der Eindringlinge, z.B. für die Verbreitung von eigenen Inhalten, Angriffe auf dritte Rechner etc.

Verändern der Daten auf den Rechnern im LAN, z.B. um sich auf diese Weise weitere Zugangsmöglichkeiten zu schaffen

Zerstören von Daten auf den Rechnern im LAN

Lahmlegen von Rechnern im LAN oder der Verbindung mit dem Internet

• Ausspähen der Zugangsdaten (Key-Logger und Spyware)

• Hacken von Servern (Backdoors und SQL-Injection)

• Missbrauch von Zugriffsrechten (Interne Angreifer)

• Verwendung der Default-Login-Daten eines Systems

• Schlichtes Erfragen von Zugangsdaten (Social Engineering)

Aufklären, Aufklären, ...

Schulen, schulen, ...

Cybersicherheit-Events mit unabhängigen Experten

Red Team Assessments

Haftung von IT-Dienstleistern

Erfolgreiche, kriminelle Geschäftsmodelle einerseits,

Mangelndes Cybersicherheitstraining andererseits

Unautorisierter Zugriff oder Zugriffsversuch auf ein IT-System und die darin gespeicherten und verarbeiteten Objekte

Arten von Angriffen

• Passiv - unautorisierte Informationsgewinnung

• Aktiv - unautorisierter Eingriff in Daten(objekte)

Maskieren

Abhören

Autorisierungsverletzung

Informationsverlust und -modifikation

Informationsfälschung

Abstreitbarkeit

Sabotage

Doxing

Subjekt täuscht die Identität eines anderen Subjekts vor

Ein Subjekt erfasst unautorisiert Informationen

Ein Subjekt nutzt unautorisiert Dienste oder Ressourcen

Objekte werden modifiziert oder unbrauchbar gemacht

Modifikation von Informationen unter falscher Identität

Beteiligung an einer Transaktion wird abgestritten

Manipulation der Verfügbarkeit / Funktionsfähigkeit des Systems

Veröffentlichung privater Daten zum Schaden einer Person

Angreifer führt eigenen Code aus, den er über eine Sicherheitslücke eingeschleust hat

Externe Angriffe

Indirekte externe Angriffe

Interne Angriffe

Physikalische Angriffe

Viele Möglichkeiten zur Fernsteuerung über das Internet Beschreiten von Umwegen um das Ziel zu erreichen

Öffentliche Listen von Sicherheitslücken und den dazu passenden Angriffswegen im Internet/Dark-Net verfügbar

Einschleusen von Schadsoftware

Phishing, PDF-Viewer, schwache Passwörter, Sicherheitslücke in einem Dienst

Frustration, Social Engineering, Bestechung

Physikalische Zugangskontrolle

Voraussetzung: „Intelligente“ Seiten mit Scripten (Java, PHP) und Programmen (z.B. Animationen, Dialogfelder)

Einbau von eigenem Code in diese Scripte, z.B. über Kompromittierung von Eingabefeldern

• Unterschiebung von Code, z.B. SQL-Injection

• Umlenken auf andere Web-Seiten oder Nachladen von Code (CSRF)

• Spionageprogramme um an Kreditkartendaten und Bankdaten zu kommen

• Kapern von e-Mail Konten (um Spams zu versenden), eBay- und Pack-Station- Daten, Amazon-Accounts

Die Ausführung von bösartigem JavaScript im lokalen Browser führt zu schädlichem Verhalten (z.B. Senden eines Session-Cookies zum Angreifer)

Angreifer führt eine Transaktion in einer Webanwendung durch

Dem Webbrowser des Opfers wird ohne dessen Wissen ein maliziöser HTTP- Request untergeschoben

Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt

Eine SQL-Injection, manchmal abgekürzt als SQLi, ist eine Art von Sicherheitslücke, bei der ein Angreifer einen Teil des SQL-Codes (Structured Query Language) verwendet, um eine Datenbank zu manipulieren und Zugriff auf potenziell wertvolle Informationen zu erhalten.

So viele Attacken auf ein System, bis dieses nicht mehr reagieren kann

Anwenderfehler, z.B. bei:

• Phishing-E-Mails

• USB-Sticks dubioser Herkunft Böswilliges Verhalten

Maßnahmen

• Aufklärung Identitätsmanagement Zugriffskontrollen

• Prinzipien für die Gewährleistung der Integrität & Vertraulichkeit

• Need-to-Know-Prinzip

• Separation-of-Duties-Prinzip

• Rotation-of-Duties-Prinzip

Den größten Schaden verursacht i.d.R. nicht der Angriff, sondern die Ausfallzeit Imageschäden und Bußgelder (Art. 83 DSGVO)

Maßnahmen

• Anti-Viren-Lösungen reichen nicht TOMs gemäß Art. 32 DSGVO Business- Continuity-Lösung Disaster-Recovery-Plan

• Backup

„PPP“ als generische Maßnahme

• Passwörter

  • Starke und individuelle Passwörter für unterschiedliche Dienste

  • MFA / 2-Faktor-Authentifizierung, insbesondere für hoch priorisierte Accounts und Remote-Zugänge

• Patching

  • Alter Grundsatz „never change a running system“ gilt nicht mehr

  • Software-Updates sind unvermeidbar

• Prävention

  • Aufklärung und Schulung

  • Technische und organisatorische Maßnahmen

  • Notfallplan

Phishing-Mail

• Über den Versand von Phishing-Mails versuchen Kriminelle eine Vielzahl von potentiellen Opfern zu erreichen, um von diesen an sensible Nutzerdaten (PINs, Passwörter, Bankverbindungsdaten, TAN...) oder personenbezogene Daten (Name, Anschrift, Geburtsdatum, Geburtsort...) abzugreifen.

Phishing-Seiten

• sind gefälschte Internetseiten, die vom Aufbau und der Optik einer realen Internetseite nachempfunden sind.

• Dem Besucher der soll vermittelt werden, er befindet sich auf der tatsächlichen Internetseite des Unternehmens.

• Zielsetzung: Eingabe von personenbezogenen Daten oder sensiblen Nutzerdaten in Formularen oder Eingabemasken

• Download von Schadsoftware

• Der Angreifer sammelt bei seinen Opfern Informationen darüber, wer in einer Firma mit wem kommuniziert.

• Dabei werden auch Inhalte der Mai-Kommunikation werden abgegriffen. Es lassen sich Phishing-Mails bauen, die nahezu perfekt an das normale Kommunikationsverhalten in einer Firma angepasst sind.

• Angreifer verschicken sehr gut auf eine Zielperson zugeschnittene E-Mails, mit der Absicht, diese dazu zu verleiten, z.B. den Mail-Anhang zu öffnen

• eine erneute Abwandlung des Worts Phishing in Kombination mit dem englischen Wort voice (deutsch: Stimme)

• ”Abfischen” von Daten über das Telefon, in Verbindung mit Social-Engineering

• Vorab wird versucht an möglichst umfangreiche Informationen des Betroffenen zu gelangen.

• Im persönlichen Gespräch wird unter einem „plausiblen“ Vorwand versucht, vom potentiellen Opfer Informationen abzugreifen, bzw. diesen zur Ausführung einer Aktion (z.B. die Ausführung einer Überweisung an die Kriminellen) zu überzeugen.

• ... ist eine Erweiterung der Wortschöpfung Phishing mit der Integration des Worts SMS.

• Generell geht es Angreifern darum, mithilfe gefälschter Kurzmitteilungen Zugangsdaten etwa zum Online-Banking und anderen Nutzerkonten zu ergattern.

• Seit letztem Herbst gaukeln die Täter dabei dem BSI zufolge Nutzern immer öfter vor, eine zunächst nicht zustellbare Sprachnachricht ("Voicemail") empfangen zu haben oder dass das Smartphone bereits mit einem Schadprogramm infiziert sei.

• Auch sind besonders häufig SMS im Umlauf, bei denen der Empfänger auf ein Video hingewiesen wird, auf dem er zu sehen sei. Das soll neugierig und leichtsinnig machen.

Empfehlungen

Klicken Sie nicht auf enthaltene Links.

Laden Sie keine Dateien aus unbekannter Quelle herunter.

Löschen Sie die verdächtige SMS-Nachricht unverzüglich.

• Beim "Attagging" wird ein echter QR-Code durch einen geklonten ersetzt, der dann die Person, die den Code scannt, auf eine ähnliche Website umleitet, auf der persönliche Daten abgefangen und abgegriffen werden können.

• Dies geschieht, ohne dass die meisten Nutzer bemerken, dass sich der Domänenname der Website geändert hat.

Technische Informationen einholen

AGBs und Datenschutzbestimmungen prüfen

Initial Risk Assessment vor Beschaffung durchführen

Eindringlinge probieren verschiedene Passwörter für einen Benutzer durch

Dies lässt sich durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) deutlich erschweren.

Funktioniert wie eine umgekehrte Brute-Force-Attacke

Hierbei wird ein Passwort bei vielen verschiedenen Benutzerkonten ausprobiert

Auch dieser Angriff lässt sich per MFA deutlich erschweren

Über einen per E-Mail gesendeten Link übergibt der Benutzer Rechte an eine App

Webdienste oder Apps erhalten Zugriff, ohne dass diese jedes Mal nach dem Passwort oder einem zweiten Faktor fragen müssen

App erhält ein spezielles OAuth-Token, mit dem sie sich gegenüber dem Dienst ausweisen kann

MFA reicht nicht aus

Falls nicht benötigt, Rechteweitergabe an eine App für Benutzer unterbinden.

Sensibilisierung und Schulung zu dieser neuen Angriffsform

Schulungen

Tutorial von Microsoft, wie Admins gefährliche OAuth-Apps aufspüren können:

Ransomware ist ein lukratives Geschäft

die „Branche“ findet immer wieder neue Wege, um noch verlässlicher Geld zu erpressen.

Aktuelle „Schwäche“ der kriminellen Geschäftsmodelle ist die gute Vorbereitung der potentiellen Opfer, z.B. durch:

Offsite-Backups

Disaster-Recovery-Prozesse

Kopieren der Daten vor der Verschlüsselung

Druckmittel: Veröffentlichung geheimer Daten

„Vertraulichkeit bricht ... bis in alle Ewigkeit ...“

Ransomware-Infektionen sind zugleich auch Datenlecks

Business Continuity ist nicht ausreichend

Vertraulichkeit gemäß Stand der Technik (siehe DSGVO) ist nicht ausreichend

Bedrohungsanalyse und proaktives Risikomanagement erforderlich [vgl. Fuhr, 2020]

Gesamtheit der „durch den Einzelnen zum Schutz seiner Datenschutzgrundrechte ergriffenen technischen, organisatorischen und rechtlichen Maßnahmen“

Achtung!

Privatheitsschutz gilt nicht absolut, sondern ist durch Rechte und berechtigte Interessen anderer oder der Allgemeinheit begrenzt, weshalb Diensteanbieter unter bestimmten Voraussetzungen zur Aufzeichnung von Kommunikationsdaten gesetzlich verpflichtet sind.

Passive Maßnahmen

• Vermeidung der Herausgabe zutreffender personenbezogener Daten (Datensparsamkeit)

Aktive Maßnahmen

• Angabe von Pseudonymen

• Nutzung von datenschutzfreundlicher Technik (Privacy Enhancing Technologies) mit Verschlüsselung, Anonymisierung und Pseudonymisierung [Danezis, G. et al., 2014]

Tor-Browser

Gilt als wichtigstes Instrument „digitaler Selbstverteidigung“

Anonymität und Abhörsicherheit

Unverkettbarkeit und Nicht-Verfolgbarkeit

Hidden Service im Darknet

Für normale Anwender könnte sich de facto das Risiko erhöhen, tatsächlich überwacht und ausspioniert zu werden!

Betriebssystem-spezifische Verfahren:

• BitLocker für MS-Windows

• FileVault für Mac OSX

Plattform-übergreifende, offene Verschlüsselungslösung mit VeraCrypt

• Derzeit eines der wenigen Krypto-Projekte, die nach wie vor großes Vertrauen genießen

• Professioneller Code-Review hat bislang keine Schwächen offenbart

• Umsetzung einer „Glaubhaften Abstreitbarkeit“

Geräte nie unbeaufsichtigt liegen lassen

Zugriffsschutz aktivieren

Sicherheitsupdates (aktuelles System)

Virenscanner

Personal Firewall

Datenträger verschlüsseln (z.B. BitLocker bei MS-Windows, FileVault bei MacOSX)

Regelmäßige Sicherungskopien der Daten anfertigen

Betriebssystem-spezifische Anwendungen (z.B. Time Machine bei Mac OSX) für Backups auf externen Datenträgern

Sicheres, verschlüsseltes Backup in der Cloud (z.B. mit BoxCryptor)

Verschlüsseln sensibler Informationen (z.B. mit VeraCrypt)

Richtige Lagerung der Speichermedien

Richtiges Löschen/Sicheres Löschen mit Daten-Shreddern

Nur bei Bedarf aktivieren

Zugriffe kontrollieren

Sensibler und bedachter Umgang mit Apps

Kostenlose, werbefinanzierte Apps teils unbekannter Herkunft vs. Apps von vertrauenswürdigen Anbietern

Einkauf nur in einem verifizierten Store

Auf Datenschutzbestimmungen achten

Datenschutz, Verlust, Datenintegrität, Compliance, ...

Wo werden Daten Wie lange gespeichert und von Wo wird auf diese Daten zugegriffen?

Wann und Wie wird unerlaubtes Eindringen und unerlaubter Zugriff auf Systeme und Daten gemeldet?

Sicherheitsbedingungen und -vorkehrungen der Anbieter prüfen

Kostenlose Angebote kritisch hinterfragen

Kennwortrichtlinien für das Internet beachten

Regelmäßige lokale Sicherungskopien erstellen

Auf Datenschutzbestimmungen achten!

Verantwortungsbewusster Umgang mit sensiblen Daten

Secure Hashing

Erzeugung von Ersatzwerten für sensitive Daten

In einer Mapping-Tabelle bei einer „Trusted 3rd Party“ wird gespeichert, welcher zu sichernde Wert welchem Ersatzwert zugeordnet ist.

Im Unternehmen können alle Stellen auf diese Mapping-Tabelle zugreifen, die Zugriff auf die Daten haben müssen.

Einhaltung der Datenschutzgesetze und der Compliance-Vorgaben zum Speicherort von Daten

Schützt die Daten in der Cloud durch Verschlüsselung oder Tokenisierung

CDP fängt sensible Daten noch On-Premises ab und ersetzt sie durch ein zufälliges Token oder einen verschlüsselten Wert

Einhaltung von Datenschutzvorgaben und Compliance-Anforderungen

Daten sind für Angreifer, die außerhalb des Unternehmens darauf zugreifen, nutzlos

... eine ursprünglich von Phil Zimmermann entwickelte Software für die Signierung und Verschlüsselung beliebiger Dokumente auf der Basis öffentlicher Schlüssel

Sicherung der korrekten Zuordnung zwischen einem öffentlichem Schlüssel und seinem Inhaber erfordert die aktive Beteiligung der Benutzer

... ist umständlich und fehleranfällig aber

hat aber gegenüber S/MIME den Vorteil, dass man sich nicht auf die Vertrauenswürdigkeit von Zertifizierungsstellen verlassen muss.

Alle gängigen Mail-Programme unterstützen diesen Standard.

Behandlung von Signaturen und Verschlüsselung erfolgt vollautomatisch.

Die sichere Zuordnung zwischen einem öffentlichen Schlüssel und seinem Inhaber wird durch ein Zertifikat gemäß X.509-Standard garantiert.

Das Zertifikat enthält den öffentlichen Schlüssel; es muss nicht geheim gehalten werden, sondern sollte im Gegenteil möglichst weit verbreitet werden, damit der Inhaber von überall her verschlüsselte E-Mail erhalten kann

Gegenseitige Beglaubigung der Schlüssel

Wenn ein Benutzer den Beglaubiger eines Schlüssels kennt und ihm vertraut, hat er die Gewissheit, dass der Schlüssel tatsächlich dem angegebenen Inhaber zugeordnet ist.

Datenverkehr zwischen zwei Teilnehmern im VPN wird verschlüsselt Während der Übermittlung sind die Daten für Dritte unlesbar

Sichere Verbindungen innerhalb eines öffentlichen IP-Netzes

Offen nur am Anfang und am Ende, dazwischen perfekt abgeschirmt

VPN-Tunnel über Festverbindung, Wählverbindung und IP-Netzwerk

Authentifizierung der Teilnehmer

Erkennen und Ablehnen „nachgespielter“ Pakete (Antireplay)

IPSec

SSL/TLS

Daten

• Reduzierung von Daten, Verfälschung, Trennung, Begrenzung

Systeme

• Reduzierung von Verarbeitungen, Sperrung, Löschung, Pseudonymisierung/ANonymisierung

Prozesse

• Gewalteinteilung, Kontrolle, Löschprozesse, Beschränkung Berechtigter

Daten

• Schutz der Daten, Syntax und Semantik

Systeme

• Schutz der Systeme

Prozesse

• Planung, Überwachung, Notfall

Daten

• Protokollierung, Rechte, Hashes

SYsteme

• Rechte, Prüfungen

Prozesse

• Planung, Rechte/Rollen

Daten

• Rechte, Protokollierung, Verschlüsselung

Systeme

• Kontrolle, Verschlüsselung

Prozesse

• Rechte/Rollen, Regelungen, Kontrolle

Daten

• Trennung, Anonymisierung, Löschung, Mandantentrennung

Systeme

• Trennung auf Systemebene, Mandantentrennung

Prozesse

• Rechte/Rollen/Identitäten, Kontrolle, Mandantentrennung

  
  

Daten

• Schaffung notwendiger Datenfelder

Systeme

• Änderung und Steuerung

Prozesse

• Änderbarkeit und Nachverfolgbarkeit

• 
  

Daten

• Dokumentation der Daten (Formate, Syntax, ERforderlichkeit)

Systeme

• Dokumentation der Systeme (physisch, logisch, über Zustände)

Prozesse

• Dokumentation, Versionierung, Änderungsverfahren