Anzeige

Microsoft Office 365

Quelle: Wachiwit / Shutterstock.com

Wie diese Woche bekannt wurde, fehlt in einem der weitverbreitetsten Business-Softwareprogramme eine wichtige Sicherheitsfunktion – eine Tatsache, die bisher kaum bekannt war. Eventuell sind User dadurch gefährdet, denn unter anderem erleichtert es so eine Infektion mit der Malware Emotet.

Konkret geht es darum, dass Unternehmen zum Schutz vor Malware oft die generelle Ausführung von Makros deaktivieren – dies passiert per Gruppenrichtlinie, die der zuständige Administrator festlegt. Das BSI empfiehlt dieses Vorgehen, unter anderem um das Eindringen von Emotet in das Netzwerk zu erschweren. Die Schadsoftware nutzt häufig Makros, um sich Zugang zu verschaffen. Allerdings gelingt dies mit einigen Versionen von Office 365 nicht, da hier Gruppenrichtlinien ignoriert werden, ohne dass Administratoren etwas mitbekommen. Das Problem bezieht sich aber nur auf die günstigeren Business-Varianten des Programms, bei Nutzung der teureren Enterprise Versionen von Office 365 passiert dies nicht – hier wird die Umsetzung der Richtlinien unterstützt.

Wie ernst Unternehmen den Schutz vor Emotet nehmen sollten zeigt die Tatsache, dass das BSI schon vermehrt explizit vor der Malware warnte und sie vor gut anderthalb Jahren als „weltweit gefährlichste Schadsoftware“ einstufte. Erst Ende 2019 wurde das Kammergericht Berlin zum Opfer von Emotet und Trickbot, die Trojaner konnten sich tagelang im Netzwerk aufhalten und Daten entwenden. Der Schaden war so verheerend, dass Gutachter einen kompletten Neuaufbau der IT-Infrastruktur empfahlen. Grundsätzlich sehen Experten die Gefahr bei Emotet vor allem darin, dass die Malware-Variante extrem flexibel ist. So nutzt sie eine Reihe verschiedenster Wege, um in das System zu gelangen. Etwa durch falsche E-Mails – mit Hilfe von Outlook-Harvesting werden Nachrichten von Kollegen gefälscht, die sehr glaubwürdig wirken. Im nächsten Schritt lädt die Schadsoftware noch zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach. Letztere verschlüsselt alle Daten des Systems, um zur Entschlüsselung Lösegeld zu fordern und richtet somit großen Schaden in Unternehmensnetzwerken an.

Um sich effektiv vor Emotet zu schützen, können Betriebe an mehreren Punkten ansetzen. Zum einen sind organisatorische Maßnahmen wichtig – etwa durch Sensibilisierung der Mitarbeiter über die Gefahren durch E-Mail-Anhänge und Links, wie es auch das BSI empfiehlt. Bei ungewöhnlich wirkenden Mails sollte zum Beispiel vor der Öffnung von Anhängen mit dem Absender gesprochen und Auffälligkeiten direkt der Security-Abteilung gemeldet werden. Echte Sicherheit kann aber nur durch die Nutzung von technischen Lösungen erreicht werden, bei deren Entwicklung Gefahren für die IT-Sicherheit schon bei der Entwicklung mit einbezogen wurden. Das Prinzip „Privacy by Design“ (=Datenschutz durch Technikgestaltung) ist auch in Artikel 25 der EU-DSGVO vorgeschrieben.

Auch sieht das BSI eine der größten Gefahrenquellen in Hinblick auf Emotet in der falschen Vergabe von Berechtigungen. Um dies zu verhindern ist es sinnvoll, dass Firmen bei der Wahl von Enterprise File Service darauf achten, dass diese über ein modernes Berechtigungskonzept verfügen, das sich über eine zentrale Administration steuern lässt. Zugriffsrechte müssen einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte haben, andere aber auch Daten bearbeiten und löschen können. Somit behält etwa die IT-Abteilung zwar die organisatorische Hoheit, hat aber keine Lese- und Schreibrechte auf Finanz- oder Personaldaten. Alle Nutzer bzw. Daten lassen sich idealerweise in ihrer Verfügbarkeit zeitlich befristen. Da Emotet nicht selten Verschlüsselungstrojaner nachlädt, sollten Lösungen außerdem einen integrierten Ransomware-Schutz mitbringen, sodass die Daten bei einem Verschlüsselungsangriff nicht betroffen wären. Wenn Ransomware im Ernstfall lokale Laufwerke oder Netzwerklaufwerke verschlüsselt, verlieren Betriebe im Idealfall dank einer Versionierung trotzdem keine Dateien, da die unverschlüsselten Versionen der Daten automatisch separat abliegen und unbeschadet wiederhergestellt werden können.

Office 365 besteht allerdings nicht nur aus Funktionen wie Word, Excel oder Outlook. Der integrierte Speicherdienst OneDrive ist die Heimat für Millionen von unternehmenskritischen Daten. Und damit schlummert hier nicht nur die größte Angriffsfläche für Ransomware, die Nutzung des Dienstes gefährdet auch die DSGVO-Konformität von Kundendaten.

Gerade bei der Wahl des Cloud-Speichers müssen sich Unternehmen genau überlegen, auf welchen Anbieter sie setzen. So verlockend die vermeintlich einfache Datenspeicherung über OneDrive, das an Microsoft quasi „angedockt“ ist, auch sein mag: Auch dieser kostenfreie Speicherplatz wird dazu genutzt, um maschinelles Lernen zu verbessern, personalisierte Produkte und gezielte Werbung anzubieten oder Service-Provider zu versorgen und Anweisungen von Behörden nachzukommen. Das ganze „nett verpackt“ im Kleingedruckten. Auch wenn der Zugriff automatisiert und von KI gesteuert wird, darf nicht vergessen werden, dass hinter diesen Anwendungen Menschen sitzen, welche die Algorithmen programmieren. Und dafür können und müssen sie auf gespeicherte Daten zugreifen. Daher kann nicht ausgeschlossen werden, dass dieser Zugriff von einem Microsoft-Mitarbeiter, einem der Partner oder Service-Provider missbraucht wird. Denn jeder nicht-autorisierte Zugriff bedeutet für den Anwender ein Sicherheitsrisiko. Und das lässt sich deutlich minimieren, wenn eine deutsche Cloud-Lösung eingesetzt wird, die auch mit der DSGVO konform ist.

Generell zeigt die aktuelle Entdeckung bei Microsoft Office, dass Betriebe ihr internes Schutzniveau laufend überprüfen müssen, um ein Maximum an Sicherheit und die Einhaltung der EU-Datenschutzgrundverordnung zu gewährleisten. Hierzu zählt die stetige Überprüfung der eingesetzten Software und die Frage, ob deren Einstellungen das Schutzniveau erhöhen und ob Mitarbeiter ausreichend über mögliche Gefahren informiert sind.

Arved Graf von Stackelberg, Geschäftsführer
Arved Graf von Stackelberg
Geschäftsführer, Dracoon

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Trojaner
Feb 11, 2020

Schadsoftware Emotet – So vermeiden Sie den IT-Totalschaden

Nach einem Cyberangriff mit dem Trojaner Emotet vor fünf Monaten ist das Berliner…
Trojaner
Jan 24, 2020

Die Emotet-Angriffswelle hält Deutschland weiter in Atem

Stadtverwaltungen, Kliniken und Universitäten hatten in letzter Zeit vermehrt mit…
Malware
Jan 22, 2020

Malware – eine Erfolgsgeschichte

2020: Regelrechte Malware-Kampagnen versetzen Unternehmen aller Branchen und Größen in…

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!