Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Ransomware

Ransomware ist der Dauerbrenner unter den Cyberangriffen. Das liegt auch daran, dass es viele Unternehmen den Hackern nach wie vor zu einfach machen, wichtige Daten zu verschlüsseln und erst nach Zahlung eines Lösegelds wieder freizugeben.

Der gängige Tipp von Experten: Backups anlegen und Sicherheitskopien erstellen. Doch was wenn auch diese Daten von der Malware betroffen sind? 

In einem aktuellen Bericht über exponierte Dateien im Internet hat Digital Shadows über 17 Millionen verschlüsselte Dateien entdeckt, und zwar genau in den Cloud-Speichern, die häufig für Backups genutzt werden. Die Ransomware NamPoHyu fiel dabei besonders ins Auge. Entdeckt wurde die neue Variante des Erpressungstrojaners MegaLocker im April 2019. Das Besondere: Sie hat es gezielt auf ungeschützte Samba-Server abgesehen, läuft lokal auf dem Computer von Angreifern und verschlüsselt via Brute-Force-Attacken Daten aus der Ferne. Samba ist die Open-Source-Implementierung des SMB-Protokolls, das auf Unix-basierten Systemen läuft und die Dateikommunikation mit Windows-Betriebssystemen ermöglicht. Über 2 Millionen Dateien wurden mit der Dateiendung .nampohyu verschlüsselt, wobei die ersten Daten in der ersten Aprilwoche 2019 auftauchten. Wer also seine Daten über Backups sichern möchte, sollte Sorge tragen, dass auch die dafür genutzten Cloud-Speicher und Dienste ausreichend geschützt sind. Andernfalls kann man sich die Datensicherung auch gleich ganz sparen.

Exponierte Daten – ein weltweites Problem

Die Menge an sensiblen Daten, die weltweit über File-Sharing und File-Storage Dienste offen zugänglich sind, hat in den letzten Jahren bedrohliche Ausmaße angenommen. Insgesamt wurden über 2,3 Milliarden vertrauliche Dokumente entdeckt, die über falsch konfigurierte Server wie FTP, SMB, rsync und Amazon S3 an die Öffentlichkeit gelangten. Auch das Inkrafttreten von DSGVO im Mai letzten Jahres scheint diesen ungewollten Datenleaks kein Abbruch zu tun. Im Gegenteil war Europa laut Report mit rund 1. Mrd. Dokumente am stärksten betroffen: 151 Mio. in Frankreich, 98 Mio. in Großbritannien und 121 Mio. in Deutschland. Tatsächlich konnten unter den 28 EU-Mitgliedstaaten nur Luxemburg und die Niederlande einen Rückgang im Vergleich zum Vorjahr melden. Dazu trug scheinbar vor allem die verstärkte Aufmerksamkeit in diesem Bereich aufgrund des Inkrafttretens der lokalen GDPR-Richtlinien (analog der DSGVO in Deutschland)bei.

Risikofaktor SMB

Ein Löwenanteil (46%) der sensiblen Dokumente war über das Protokoll Server Message Block (SMB) zugänglich. Damit hat sich die Zahl im Vergleich zum Vorjahr nahezu verdoppelt. Ein Grund dafür könnte das Hinzufügen von SMB Support zum Amazon-Dienst AWS Storage Gateway sein. Damit sollen dateibasierte Anwendungen, die für Microsoft Windows entwickelt wurden, einfach Objekte im Amazon Simple Storage Service (S3) speichern und auf sie zugreifen können. Nach Berichten von Akamai allerdings haben seitdem Hacker die von SMB benötigten Netzwerk-Ports 139 und 445 verstärkt ins Visier genommen. Generell weist die mittlerweile über 30 Jahre alte Architektur von SMB1 kritische Sicherheitslücken auf – wie die WannaCry Ransomware vor zwei Jahren eindrücklich bewies. Die Entscheidung von Microsoft, SMB1 nicht länger standardgemäß zu installieren und alte SMB-Versionen zu deaktivieren bzw. automatisch zu deinstallieren, muss daher als wichtiger Schritt in Richtung Datenschutz gewertet werden.

Klarer Verstoß von Datenschutz

Das im Netz zu viele kritische Daten ungeschützt abgelegt, geteilt und gespeichert werden ist eine Tatsache. Zwar enthüllt nicht jeder der exponierten Dateien zwangsläufig ein Betriebsgeheimnis oder löst den Notstand aus, die schiere Menge der offengelegten Informationen verdeutlicht jedoch das Ausmaß, in dem der Datenschutz vernachlässigt und verletzt wurde. Von Krankenhäusern gesammelt Patientendaten – einschließlich Diagnosen und medizinischen Scans und Berichten – sind hier das eklatanteste Beispiel. Passwörter lassen sich zurücksetzen und Transaktionen rückgängig machen. Sind persönliche Daten wie Röntgenaufnahmen, Blutwerte und Medikation namentlich genannt erst einmal im Netz zu finden, lässt sich ein Gefühl von Privatsphäre nur noch schlecht aufrechterhalten. Insgesamt fanden die Analysten des Photon Research Teams von Digital Shadows rund 4,4 Mio. DICOM-Bilddateien wie z. B. beim digitalen Röntgen, bei der Magnetresonanztomographie, der Computertomographie oder der Sonographie verwendet werden.

Datenschutzverletzung betreffen auch Unternehmen

Für Unternehmen stellen exponierte Daten in mehrfacher Weise ein Risiko dar. Ihre Angriffsfläche vergrößert sich mit jedem Mitarbeiter und jedem Partner oder Zulieferer, der unbeabsichtigt Daten öffentlich macht. So entdeckte das Analysten-Team beispielsweise einen offenen FTP-Server einer Privatperson, in dem Bewerbungen, Fotos, Passscans und Kontoauszüge ordentlich abgelegt waren. Für potentielle Angreifer sind solche Informationen ein Glücksfall: So können sie einfach die Identität einer Person stehlen und für weitere Aktivitäten nutzen, auch gegenüber dem jeweiligen Arbeitgeber durch Social Engineering.

Ein unkalkulierbares Risiko stellen in diesem Sinne auch Partner, Zulieferer und Dienstleister dar (Third-Party Risks). Nicht alle Unternehmen verfügen über eine eigene Abteilung, die sich um die nötige IT-Sicherheit sorgt und digitale Bedrohungen im Blick behält. Stattdessen werden externe Dienstleister beauftragt. Wie dort mit den Daten im Detail umgegangen wird ist für Kunden nur begrenzt einsehbar. Leistet der Großteil der Sicherheitsfirmen einen guten Job, gibt es jedoch immer auch schwarze Schafe, wie etwa IT-Unternehmen in Großbritannien am eigenen Leib erfahren musste. Über einen Dritten wurden mehr als 212.000 Dateien öffentlich ins Netz gestellt, darunter nicht nur unternehmensinterne Informationen, sondern auch Details von Kunden. Selbst Passwortlisten der Kunden und privaten Telefonnummern fanden sich unter den Unterlagen.

Wie lassen sich Cloud-Speicherdienste sichern?

Daten, die unbeabsichtigt im Netz landen, verschwinden nicht von selbst. Was sich in den letzten Jahren jedoch bewährt hat, ist das aktive sichern von Cloud-Speicherdiensten und ein kontinuierliches Monitoring nach kritischen Daten. Praktisch lassen sich für die gängigsten Dienste folgende Empfehlungen geben: 

Amazon Simple Storage Service (S3) Buckets

  • Amazon S3 Block Public Access: Das neue Sicherheitsfeature wurde erstmals im November 2018 vorgestellt und schränkt den öffentlichen Zugriff auf Buckets deutlich ein. Im Vergleich zu anderen Cloud File Storages ist die Zahl exponierter Daten damit deutlich zurückgegangen – von 16 Mio. im Oktober 2018 auf gerade einmal 1.895 Dateien im Mai 2019.
  • Aktivieren Sie die Protokollierung durch AWS, um unerwünschte Zugänge oder potenzielle Expositionspunkte zu kontrollieren, die in der Erstkonfiguration übersehen wurden.
  • Weitere Empfehlungen zum Schutz von Amazon S3 Buckets finden Sie hier: https://aws.amazon.com/de/premiumsupport/knowledge-center/secure-s3-resources/

Server Message Block (SMB)

  • Blockieren Sie wenn mögliche die Ports 139 und 445
  • Ist das nicht möglich, nutzen Sie IP-Whitelisting, um nur die Systeme zu aktivieren, die zum Zugriff auf diese gespeicherten Dateien berechtigt sind. Stellen sie dabei sicher, dass diese Systeme tatsächlich die einzigen sind, die auf sie zugreifen.
  • Starke und komplexe Passwörter zur Authentifizierung sind nicht zu unterschätzen
  • Die Sicherung von Samba-Server entspricht den allgemeinen Empfehlungen für SMB. Konkrete Guidelines finden Sie auf der Samba Website.
  • Wenn die NamPoHyu-Ransomware Ihre Dateien verschlüsselt hat, verwenden Sie die kostenlose Entschlüsselungssoftware von Emsisoft.

rsync

  • Wird rsync nur intern genutzt, kann der Standard Port 837 für externe Geräteverbindungen deaktiviert werden.

File Transfer Protocol (FTP)

  • Verwenden Sie das SSH File Transfer Protocol (SFTP) als Update für FTP. SFTP fügt das Secure Shell (SSH)-Protokoll hinzu, das die Authentifizierungsinformationen sowie den Datenverkehr selbst verschlüsselt.
  • Die Platzierung des FTP-Servers hängt von seiner Nutzung ab. Gewöhnlich werden FTP-Server hinter einem separaten Abschnitt des Netzwerks platziert, um einen öffentlichen Zugang zu ermöglichen. Ist ein solcher Zugang nicht nötig, gehört der Server hinter die Firewall.

Misconfigured websites (WebIndex)

  • Hier ist die Vorgabe klar: Deaktivieren Sie die Verzeichnisauflistung, es sei denn, es ist ausdrücklich erforderlich.

Network-attached storage (NAS)

  • Ähnlich wie bei FTP, lassen sich auch NAS-Laufwerke intern hinter die Firewall verlegen. Die Implementierung von Zugriffskontrolllisten verhindert ungewollte Zugriffe.
  • Darüber hinaus können Sie eine Authentifizierung mit komplexen Passwörtern hinzufügen, um auf die Laufwerke zu zugreifen.

Stefan Bange, Country Manager DACH, Digital Shadows

www.digitalshadows.com
 

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…
5g Cyber Security

Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr „Dinge“ digitalisiert werden, gilt es immer größere Datenmengen zu bewegen…
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…
Star Wars Lego

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen…