Cyber-Security
Schadensursachen?
Maßnahmen?
Schadensursachen:
- Erfolgreiche, kriminelle Geschäftsmodelle einerseits,
- Mangelndes Cybersicherheitstraining andererseits.
Maßnahmen
- Aufklären, Aufklären, ...
- Schulen, schulen, ...
- Cybersicherheit-Events mit unabhängigen Experten
- Red Team Assessments
- Haftung von IT-Dienstleistern
Generische Ursachen, Auswirkungen und Maßnahmen
Anwender -Maßnahmen
Computer und IT -Maßnahmen
Anwenderfehler, z.B. bei:
- Phishing-E-Mails
- USB-Sticks dubioser Herkunft
—>Aufklärung, Identitätsmanagement, Zugriffskontrollen,Prinzipien für die Gewährleistung der Integrität & Vertraulichkeit:
- Need-to-Know-Prinzip
- Separation-of-Duties-Prinzip
- Rotation-of-Duties-Prinzip
größten Schaden verursacht i.d.R. nicht der Angriff, sondern die Ausfallzeit Imageschäden und Bußgelder
—>Anti-Viren-Lösungen reichen nicht TOMs,Business-Continuity-Lösung, Disaster-Recovery-Plan, Backup
Passwörter
Angriffsvektoren
Informationsverlust bei IT-Dienstleistern
Sniffing (Abhören) eines unverschlüsselten WLANs
Spear-Phishing in Kombination mit Social-Engineering
USB-Sticks fremder Herkunft *
——————
Prüfen der eigenen e-Mail-Adresse
Prüfen des Passworts, Passwort-Routine/Individuelles Schema, Passwort-DB
2-Faktor-Authentifizierung aktivieren
Nutzung eines VPN
PPP generische Maßnahme
Patching
Prävention
Starke und individuelle Passwörter für unterschiedliche Dienste
MFA / 2-Faktor-Authentifizierung, insbesondere für hoch priorisierte Accounts
und Remote-Zugänge
——————-
Alter Grundsatz „never change a running system“ gilt nicht mehr—> Software-Updates sind unvermeidbar
Aufklärung und Schulung
Technische und organisatorische Maßnahmen
Notfallplan
Phishing
Erläuterung
Phishing-Mail
Phishing-Seiten
Zusammengesetzt aus Password und Phishing
Versuch durch Emails sensible Nutzerdaten (PINs, Passwörter, Bankverbindungsdaten, TAN...) oder personenbezogene Daten (Name, Anschrift, Geburtsdatum, Geburtsort...) abzugreifen
gefälschte Internetseiten, die vom Aufbau und der Optik einer realen
Internetseite nachempfunden sind —>Zielsetzung: Eingabe von personenbezogenen Daten oder sensiblen Nutzerdaten in Formularen oder Eingabemasken
Download von Schadsoftware
Catphishing
Erpressung durch Gefälschte Profile/Bilder/Liebesgeschichten—>große Geldbeträge persönliche Daten und PSW
Dynamite-phishing/ Spear-Phishing
Der Angreifer sammelt Informationen über die Kommunikationsmuster und -inhalte in einer Firma, um maßgeschneiderte Phishing-E-Mails zu erstellen, die dazu verleiten sollen, schädliche Anhänge zu öffnen.
Vishing
Voice-Phishing (Vishing) ist der Versuch, durch Social Engineering und Vorabinformationen telefonisch sensible Daten zu erlangen oder das Opfer zu schädlichen Aktionen zu verleiten.
Smishing
Smishing ist Phishing per SMS, bei dem gefälschte Nachrichten Zugangsdaten stehlen, oft indem sie Voicemail- oder Schadsoftware-Benachrichtigungen vortäuschen oder behaupten, der Empfänger sei auf einem Video zu sehen.
—> nicht auf Links, keine unbekannten Quellen, Verdächtige sachen löschen
Attagging
Beim "Attagging" wird ein echter QR-Code durch einen klonierten ersetzt, der Nutzer unbemerkt auf eine ähnliche Website umleitet, um persönliche Daten abzugreifen.
Brute-Force
Passwort-Spraying
OAuth-Phishing
Eindringlinge probieren verschiedene Passwörter für einen Benutzer durch—> lässt sich durch Multi-Faktor-Authentifizierung (MFA) deutlich erschweren.
Hierbei wird ein Passwort bei vielen verschiedenen Benutzerkonten ausprobiert —> MFA
Benutzer sollten sensibilisiert und geschult werden, um die Rechteweitergabe an Apps, die per E-Mail-Links OAuth-Token erhalten und ohne Passwort oder MFA auf Webdienste zugreifen können, zu verhindern, und die Rechteweitergabe an unnötige Apps zu unterbinden.
Ransomware 2.0
lukratives Geschäft
immer wieder neue Wege
schwäche: gut vorbereitetes Opfer
Neue Bedrohungen: Kopien vor Verschlüsselung, Veröffentl. Geheimnisse, Image, Datenleck
Business Continuity & Vertraulichkeit ist nicht ausreichend
—>Bedrohungsanalyse und proaktives Risikomanagement erforderlich
Diebstahl von Kreditkartendaten für Zahlungen per Handy
- **Hintergrund:**
- **Angriffsvektor:**
- **Maßnahmen:**
- Smartphones/Smartwatches speichern Kredit-/Debitkartendaten.
- Nutzung über Apple Pay/Google Pay.
- Bestätigung per Fingerabdruck, Gesichtserkennung oder Telefon-PIN.
- Betrüger nutzen Phishing-Seiten für Kartendaten.
- Anruf als Bank-Mitarbeiter, Aufforderung zur Push-TAN-Bestätigung.
- Bestätigte TAN aktiviert Karte auf Betrügerhandy, Einkauf ohne weitere PINs/TANs möglich.
- Online-Banking nur über bekannte URLs.
- Keine Links in E-Mails, SMS oder Messenger anklicken.
- Banken fordern niemals sensible Daten oder TANs per Telefon/Nachricht an.
Phishing mit Amazon-Kontoübernahme(n)
### Hintergrund
- Nutzung von Käufer- und Verkäufer-Konto bei Amazon
- Keine Verkaufsaktivitäten in letzten Monaten
### Angriffsvektor
- Fake-Nachricht von "Amazon" zur Kontoaktualisierung
- Phishing-Kits und „Phishing-as-a-Service“ (PHaaS)
- Man in the Middle Angriff
### Maßnahmen
- Amazon-Seite nur über bekannte URL aufrufen
- IT-Sicherheitsstrategie: Mindset, Skillset, Toolset
- Neueste 2FA-Technik und Security-Awareness-Trainings
Sicherheitstests: Vermeidung juristischer Probleme
- Autorisierung festgelegter Personen durch Management
- Testdurchführung in Aufgabenbeschreibung enthalten
- Nutzung der Programme außerhalb dienstlicher Tätigkeit verboten
- Einverständnis des Systemeigentümers erforderlich und Testablauf absprechen
- Schriftlicher Auftrag für Tests bei internen oder externen Kunden, inkl. Art, Umfang und zu testende Systeme, sowie namentliche Nennung der Mitarbeiter
- Aussagekräftige Protokolle während Tests führen
- Testergebnisse sicher verwahren und geheim halten
- Bei externen Tests Kopie des Auftrags als Nachweis mitführen.
- Gesetzliche Regelungen (BDSG, TKG) beachten.
- Bei versehentlicher Schädigung Dritter: Test sofort abbrechen, Geschädigten informieren, Ursache dokumentieren.
- Kein Zugriff auf unautorisierte Daten.
Zuletzt geändertvor 5 Monaten