Ursachen, Auswirkungen und Maßnahmen

Schadensursachen:

• Erfolgreiche, kriminielle Geschäftsmodelle einerseits

• Mangelndes Cybersicherheitstraining andererseits.

Maßnahmen:

• Aufklären, Aufklären, …

• Schulen, schulen, …

• Cybersicherheit-Events

• Red Team Assessments

• Haftung von IT-Dienstleistern

• Anwenderfehler, z.B. bei:

  • Phishing-E-Mails

  • USB-Sticks dubioser Herkunft

• Böswilligees Verhalten

Maßnahmen:

• Aufklärung

• Identitätsmanagement

• Zugriffskontrollen

• Prinzipien für die Gewährleistung der Integrität & Vertraulichkeit

  • Need-to-Know-Prinzip

  • Separation-of-Duties-Prinzip

  • Rotation-of-Duties-Prinzip

größter Schaden verursacht i.d.R. nicht der Angriff, sondern die

→ Ausfallzeit, Imageschäden und Bußgelder

Maßnahmen:

• Anti-Viren-Lösungen reichen NICHT!

• TOMs gemäß Art.32 DSGVO

• Business-Continuity-Lösung

• Disaster-Recovery-Plan

• Backup

Angriffsvektoren:

• Informationsverlust bei IT-Dienstleistern

• Sniffing (Abhören) eines unverschlüsselten WLANs

• Spear-Phishing in Kombination mit Social-Engineering

• USB-Sticks fremder Herkunft

Maßnahmen:

• Prüfen der eigenen E-Mail-Adresse

• Prüfen des Passworts, Passwort-Routine/ Individuelle Schema, Passwort-DB

• 2-Faktor-Authentifizierung aktivieren

• Nutzung eines VPN

Passwörter

• Starke und individuelle Passwörter für unterschiedliche Dienste

• MFA / 2-Faktor-Authentifizierung, insbesondere für hoch priorisierte Accounts und Remote-Zugänge

Patching

• Alter Grundsatz “never change a running system” GILT NICHT MEHR!

• Software-Updates sind unvermeidbar

Prävention

• Aufklärung und Schulung

• Technische und organisatorische Maßnahmen

• Notfallplan

Phishing-Mail

• Vielzahl von potentiellen Opfern

• sensible Nutzerdaten (PINs, Passwörter, TAN usw)

• personenbezogene Daten (Name, Anschrift usw)

Phishing-Seiten

• gefälschte Internetseiten, die vom Aufbau und Optik einer realen gleichen

• Besucher täuschen

• Ziel: Eingabe von personenbezogenen Daten/ sensiblen Nutzerdaten

• Download von Schadsoftware

Nutzung von Dating-Websites, Chatrooms und Foren zur Vernetzung, z.B. Tinder

• Profile mit gefälschten Bildern, Antworten auf Fragen, Neigeungen, …

• Komplimente, rührselige Geschichten, romantische Versprechungen

  → Personen überreden bestimmte Dinge zu tun

• Prozess beschleunigen mittels Daramtik, z.B:

  Seelenverwandschaft oder Liebe auf den ersten Blick

Ziel:

• Überweisung großer Geldbeträge oder preisgeben persönlicher Daten wie E-Mail- oder Amazon-Passwörter

• Angreifer sammelt Informationen darüber, wer in einer Firma mit wem kommuniziert

• Abgreifen von Mail-Inhalten

  • → Phishing-Mails (nahezu perfekt gefälscht)

• sehr gut auf eine Zielperson zugeschnittene E-Mails

  → diese soll z.B. Mailanhang öffnen

• Definition:

  • Vishing (Voice Phishing)

  • Angreifer versuchen telefonisch, sensible Informationen wie Passwörter, Kreditkartennummern oder andere persönliche Daten zu erlangen.

• Vorgehensweise:

  • Gefälschte Identitäten:

    Angreifer geben sich oft als Mitarbeiter von Banken, Unternehmen oder Behörden aus, um Vertrauen zu gewinnen und die Opfer zur Preisgabe ihrer Informationen zu bewegen.

  • Druck und Dringlichkeit:

    Die Anrufer erzeugen oft eine Atmosphäre der Dringlichkeit oder Bedrohung, um das Opfer zu schnellem Handeln zu bewegen, z.B. durch Androhung von Kontosperrungen oder dringenden Sicherheitsproblemen.

• Ziel:

  • Der Erhalt sensibler Daten oder finanzieller Informationen, um diese für betrügerische Aktivitäten oder Identitätsdiebstahl zu nutzen.

1. Definition:

   • Phishing über SMS

2. Vorgehensweise:

   • Gefälschte Nachrichten:

     Angreifer senden SMS, die von vertrauenswürdigen Quellen stammen könnten, und enthalten oft Links oder Aufforderungen zur Eingabe persönlicher Daten.

   • Dringlichkeit und Angst:

     Die Nachrichten enthalten meist dringende Aufforderungen, wie die Verifizierung von Konten oder das Beheben angeblicher Sicherheitsprobleme, um die Nutzer zum schnellen Handeln zu bewegen.

3. Ziel: Der Diebstahl von persönlichen Daten, Zugangsinformationen oder finanziellen Mitteln durch Täuschung und Manipulation.

   
   

• Klicken Sie nicht auf enthaltene Links

• Laden Sie keine Dateien aus unbekannter Quelle herunter

• Löschen Sie die verdächtige SMS-Nachricht unverzüglich

echter QR-Code wird durch geklonten ersetzt

• scanning leitet auf ähnliche Website

• Abgreifen von persönlichen Daten

• ohne Wissen der Nutzer

• probieren verschiedener Passwörter für einen Benutzer

• durch den Einsatz von Multi-Faktor-Authentifizierung (MFA) deutlich schwerer

• umgekehrte Brute-Force-Attacke

• Passwort wird bei vielen verschiedenen Benutzerkonten ausprobiert

• durch MFA deutlich schwerer

1. Definition:

   • nutzt die OAuth-Authentifizierung, um ohne Passwortdiebstahl Zugriff auf Nutzerkonten zu erlangen.

2. Vorgehensweise:

   • Angreifer erstellen eine bösartige Anwendung, die wie eine legitime App aussieht.

   • Nutzer werden durch Phishing-E-Mails oder Links zu dieser Anwendung gelockt.

   • Auf einer echten OAuth-Seite wird um Berechtigungen gebeten.

   • Nach Zustimmung erhält die bösartige App Zugriff auf die Nutzerdaten.

3. Schutzmaßnahmen:

   • Berechtigungen prüfen

   • Authentizität verifizieren

   • MFA reicht nicht aus

   • Verbundene Apps regelmäßig überprüfen

Fakten:

• immer neue Wege, um noch verlässlicher Geld zu erpressen

• Aktuelle “Schwäche” der kriminiellen Geschäftsmodelle ist die gute Vorbereitung der potentiellen Opfer, z.B. durch:

  • Offsite-Backups

  • Disaster-Recovery-Prozesse

Erkenntnisse:

• Business Continuity und Vertraulichkeit gemäß Stand der Technik (siehe DSGVO) ist nicht ausreichend!

• Bedrohungsanalyse und proaktives Risikomanagement erforderlich

Neue Bedrohungsvektoren:

• Kopieren der Daten vor der Verschlüsselung

• Druckmittel: Veröffentlichung geheimer Daten

• Vertraulichkeit bricht… bis in alle Ewigkeit…

• Ransomware-Infektionen sind zugleich auch Datenlecks

1. Definition:

   • die unerlaubte Nutzung von Kreditkartendaten in mobilen Bezahldiensten wie Apple Pay oder Google Pay

2. Vorgehensweise:

   • Datenabgriff: Kriminelle stehlen Kreditkartendaten durch Phishing, Malware oder Datenlecks

   • Mobile Integration: Diese gestohlenen Daten werden dann auf dem eigenen Handy in mobilen Bezahl-Apps hinterlegt.

3. Nutzung:

   • Mit den hinterlegten Daten führen die Täter kontaktlose Zahlungen durch, als ob sie die echte Kreditkarte besitzen würden.

4. Schutzmaßnahmen:

   • Online-Banking-Website nur über bekannte URL und nicht durch Klicken auf Links aufsuchen

   • Banken und Kreditinstitute fordern nie per Telefon oder Narichten dazu auf, sensible Daten oder TANs zu nennen

1. Definition:

   • Nutzer durch gefälschte E-Mails oder Webseiten dazu zu bringen, ihre Amazon-Anmeldedaten preiszugeben, um Zugang zu ihrem Konto zu erhalten.

2. Vorgehensweise:

   • Phishing E-Mails:

     Angreifer senden überzeugend aussehende E-Mails, die angeblich von Amazon stammen und dazu auffordern, auf einen Link zu klicken und die Kontoanmeldeinformationen einzugeben.

   • Gefälschte Anmeldeseiten (Phishing-Kits):

     Diese Links führen zu gefälschten Amazon-Login-Seiten, die die eingegebenen Anmeldedaten abfangen und an die Angreifer weiterleiten.

3. Ziel:

   • Nach der Übernahme des Kontos nutzen die Angreifer es für betrügerische Käufe, Geldtransfers oder zum Zugang zu persönlichen und finanziellen Informationen des Opfers.

4. Maßnahmen:

   • Amazon-Website nur über bekannte URL aufsuchen

   • IT-Sicherheitsstrategie mit drei Brausteine:

     • Mindset (Einstellung)

     • Skillset (Fähigkeiten)

     • Toolset (Werkezuge)

   • 2FA-Technik und nachhaltige Security-Awareness-Trainings

Ergebnis:

→ Erfolgreicher Angriff auf das Unternehmensnetzwerk durch Ausnutzung einfacher Sicherheitslücken

Empfehlungen des Bitkom:

1. Autorisierung:

   nur autorisierte Personen dürfen Tests durchführen

2. Aufgabenbeschreibung:

   Testdurchführung muss in der Aufgabenbeschreibung stehen

3. Dienstliche Nutzung:

   Programme nur dienstlich einsetzen

4. Zustimmung:

   Systemeigentümer muss Tests genehmigen und abstimmen

5. Schriftlicher Auftrag:

   Erforderlich für Tests, mit Details zu Art, Umfang und Personal

6. Protokollführung:

   Aussagekräftige Protokolle während der Tests

7. Geheimhaltung:

   Testergebnisse sicher verwahren und geheim halten

8. Externer Nachweis:

   Schriftlicher Auftrag bei externen Tests mitführen

9. Gesetzliche Regelungen:

   BDSG und TKG beachten

10. Schädigung Dritter:

    Test bei Schädigung sofort abbrechen, informieren und dokumentieren

11. Autorisierte Daten:

    Kein Zugriff auf nicht autorisierste Daten