Die Lage der IT-Sicherheit in Deutschland 2020
Zum Hintergrund:
Mit diesem Auszug aus dem Bericht zur Lage der IT-Sicherheit in Deutschland 2020 des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wollen wir einen konkreten Einblick in die Gefährdungslage im deutschsprachigen Raum vermitteln, da diese tendenziell sich in D/A/CH kaum unterscheidet.
Der vorliegende Bericht macht erneut deutlich, wie wichtig die Aufgabe der Cyber Security ist und dass die Herausforderungen vielfältig und komplex sind. Cyber-Angriffe werden immer ausgefeilter. Gleichzeitig wird die IT-Abhängigkeit der Unternehmen, des Staates und der Bürger immer größer, wodurch das Schadens- potenzial zunimmt. Die Corona-Pandemie hat uns nochmals deutlich vor Augen geführt, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. IT-Sicherheit muss deshalb bei allen Digitalisierungsvorhaben einen Schwerpunkt bilden und von Anfang an mitgedacht und umgesetzt werden.
Auch im Bereich der Informationssicherheit hat Corona für Veränderungen gesorgt. So hat sich einmal mehr gezeigt, wie flexibel die Online-Kriminalität auf neue Themen und Gegebenheiten reagiert und diese für ihre kriminellen Zwecke ausnutzt. So stellt uns die Umstellung auf Home-Office nicht nur vor große menschliche und administrative, sondern besonders auch vor sicherheitstechnische Herausforderungen.
Ihre 1a Beratung e.U.
Ing. Roland Fürbas
Quelle des gesamten Beitrages und Link zum Download des original Berichtes: www.bsi.bund.de
Täglicher Zuwachs neuer Schadprogramm-Varianten
(ohne potenziell unerwünschter Anwendungssoftware (PUA))
(ohne potenziell unerwünschter Anwendungssoftware (PUA))
Dies entsprach einem durchschnittlichen Zuwachs von rund 322.000 neuen Schadprogramm-Varianten pro Tag im Berichtszeitraum (siehe Abbildung 2).
Im Vergleich zu früheren Berichtszeiträumen fiel die Welle im aktuellen Zeitraum flacher, jedoch nicht weniger bedrohlich aus. Das lag insbesondere an den neuen Varianten der Schadsoftware Emotet, die seit September 2019 wieder verstärkt für Cyber-Angriffe verwendet wurde. Das Auftreten von Emotet markiert einen Methodenwechsel der Angreifer. Waren früher noch ungezielte Massenangriffe auf zufällig getroffene Ziele das Mittel der Wahl, so werden Schadsoftware-Angriffe mittlerweile immer intelligenter und – durch einen geschickt kombinierten Einsatz verschiedener Schadprogramme – gezielter.
Emotet: Neue Qualität fortschrittlicher Angriffe
Emotet dominierte im Berichtszeitraum die IT- Sicherheitsbedrohungen durch Schadprogramme und vereint vielfältige Schadfunktionen. So sind beispielsweise verschiedene Software-Module zum Ausspähen von Informationen, zum Spamversand sowie zum Nachladen weiterer Schadprogramme enthalten. Zudem besitzt Emotet Wurm- und Bot-Funktionalitäten. Das Schadprogramm kann sich demnach nicht nur automatisiert in einem Netzwerk verbreiten, sondern auch Kontakt zu einem Command-and-Control-Server aufnehmen, um von dort Befehle der Angreifer entgegenzunehmen und im infizierten Netzwerk auszuführen.
Diese vielfältigen Schadfunktionen bieten den Angreifern zahlreiche neue und fortschrittliche Angriffsvektoren. Dabei kommen Methoden in massenhafter Weise zum Einsatz, die zuvor nur bei gezielten, aufwändigen und fachlich anspruchsvollen Angriffen auf herausgehobene Ziele beobachtet wurden.
Der Drei-Stufen-Angriff:
1. Emotet-Infektion durch Social Engineering im Schneeballprinzip:
Als Link in E-Mails wird es auf Webseiten verborgen und nach dem Klick auf den Link installiert. Um Nutzerinnen und Nutzer zum Klick zu verleiten, kommen fortschrittliche Social-Engineering-Techniken zum Einsatz. Nach einer erfolgreichen Infektion späht Emotet die E-Mail-Kommunikation des Opfers aus (sogenanntes Outlook-Harvesting) und nutzt diese, um Kommunikationspartner wie beispielsweise Geschäftspartner des Opfers anzugreifen. Die Kommunikationspartner erhalten dann ihrerseits E-Mails mit schädlichen Anhängen, die beim Klick Emotet installieren. Mit Hilfe der zuvor erbeuteten E-Mail-Kommunikationsverläufe generiert Emotet automatisiert täuschend echt wirkende Antworten auf vermeintlich vom Opfer stammende E-Mails und verbreitet diese massenhaft weiter. Aufgrund der bekannten Betreffzeilen und zitierten E-Mail-Inhalte werden Empfänger häufig erfolgreich zum Klicken verleitet. Diese Angriffsmethode kann praktisch ohne weiteres Zutun der Angreifer automatisiert durch die Schadsoftware ausgeführt werden.
2. Persistente Spionage durch Trickbot:
Nach erfolgreicher Infektion eines Systems lädt Emotet weitere Schadsoftware nach; im Berichtszeitraum handelte es sich häufig um Trickbot. Wird Trickbot nicht adhoc entdeckt, verbleibt Trickbot meist über viele Monate oder sogar Jahre im System! Trickbot besitzt Spionage- und Sabotagekomponenten und kann automatisiert das Netzwerk des Betroffenen vollständig kompromittieren – bis hin zu zentralen Systemen wie dem Domain-Control-Server im Active Directory, der für die zentrale Authentifizierung von Nutzerinnen und Nutzern sowie die Zuweisung von Rechten und Rollen zuständig ist. Der Angreifer verfügt dadurch über alle Rechte, um beispielsweise Benutzerkonten mit Administratorrechten anzulegen, Daten einzusehen und abfließen zu lassen oder Hintertüren (sogenannte Backdoors) für einen längerfristigen Verbleib im infizierten System einzurichten. Zudem sammelt Trickbot eigenständig Informationen über Systeme, Benutzer und installierte Software des Opfers und übermittelt diese an die Angreifer.
3. Monetarisierung durch die Ryuk-Ransomware:
Es ist davon auszugehen, dass die Angreifer auf Basis der von Trickbot beschafften Informationen entscheiden, ob sie anschließend über den Fernzugriff von Trick-bot auch noch manuell auf das Netzwerk des Opfers zugreifen. Erscheint ihnen das Ziel zahlungsfähig, wird die Ransomware Ryuk gleichzeitig auf allen erreichbaren Servern und Systemen des Opfers verteilt. Aufgrund der von Trickbot beschafften weitreichenden Rechte werden oft auch Backups verschlüsselt. Anschließend erfolgt häufig eine Lösegeldforderung.
Im Berichtszeitraum wurden Lösegeldforderungen bis in den achtstelligen Bereich (XX Mio. €) beobachtet.