Exponierte Daten & Ransomware

Auch Backups müssen gesichert werden

Ransomware ist der Dauerbrenner unter den Cyberangriffen. Das liegt auch daran, dass es viele Unternehmen den Hackern nach wie vor zu einfach machen, wichtige Daten zu verschlüsseln und erst nach Zahlung eines Lösegelds wieder freizugeben.

Der gängige Tipp von Experten: Backups anlegen und Sicherheitskopien erstellen. Doch was wenn auch diese Daten von der Malware betroffen sind? 

Anzeige

In einem aktuellen Bericht über exponierte Dateien im Internet hat Digital Shadows über 17 Millionen verschlüsselte Dateien entdeckt, und zwar genau in den Cloud-Speichern, die häufig für Backups genutzt werden. Die Ransomware NamPoHyu fiel dabei besonders ins Auge. Entdeckt wurde die neue Variante des Erpressungstrojaners MegaLocker im April 2019. Das Besondere: Sie hat es gezielt auf ungeschützte Samba-Server abgesehen, läuft lokal auf dem Computer von Angreifern und verschlüsselt via Brute-Force-Attacken Daten aus der Ferne. Samba ist die Open-Source-Implementierung des SMB-Protokolls, das auf Unix-basierten Systemen läuft und die Dateikommunikation mit Windows-Betriebssystemen ermöglicht. Über 2 Millionen Dateien wurden mit der Dateiendung .nampohyu verschlüsselt, wobei die ersten Daten in der ersten Aprilwoche 2019 auftauchten. Wer also seine Daten über Backups sichern möchte, sollte Sorge tragen, dass auch die dafür genutzten Cloud-Speicher und Dienste ausreichend geschützt sind. Andernfalls kann man sich die Datensicherung auch gleich ganz sparen.

Exponierte Daten – ein weltweites Problem

Die Menge an sensiblen Daten, die weltweit über File-Sharing und File-Storage Dienste offen zugänglich sind, hat in den letzten Jahren bedrohliche Ausmaße angenommen. Insgesamt wurden über 2,3 Milliarden vertrauliche Dokumente entdeckt, die über falsch konfigurierte Server wie FTP, SMB, rsync und Amazon S3 an die Öffentlichkeit gelangten. Auch das Inkrafttreten von DSGVO im Mai letzten Jahres scheint diesen ungewollten Datenleaks kein Abbruch zu tun. Im Gegenteil war Europa laut Report mit rund 1. Mrd. Dokumente am stärksten betroffen: 151 Mio. in Frankreich, 98 Mio. in Großbritannien und 121 Mio. in Deutschland. Tatsächlich konnten unter den 28 EU-Mitgliedstaaten nur Luxemburg und die Niederlande einen Rückgang im Vergleich zum Vorjahr melden. Dazu trug scheinbar vor allem die verstärkte Aufmerksamkeit in diesem Bereich aufgrund des Inkrafttretens der lokalen GDPR-Richtlinien (analog der DSGVO in Deutschland)bei.

Risikofaktor SMB

Ein Löwenanteil (46%) der sensiblen Dokumente war über das Protokoll Server Message Block (SMB) zugänglich. Damit hat sich die Zahl im Vergleich zum Vorjahr nahezu verdoppelt. Ein Grund dafür könnte das Hinzufügen von SMB Support zum Amazon-Dienst AWS Storage Gateway sein. Damit sollen dateibasierte Anwendungen, die für Microsoft Windows entwickelt wurden, einfach Objekte im Amazon Simple Storage Service (S3) speichern und auf sie zugreifen können. Nach Berichten von Akamai allerdings haben seitdem Hacker die von SMB benötigten Netzwerk-Ports 139 und 445 verstärkt ins Visier genommen. Generell weist die mittlerweile über 30 Jahre alte Architektur von SMB1 kritische Sicherheitslücken auf – wie die WannaCry Ransomware vor zwei Jahren eindrücklich bewies. Die Entscheidung von Microsoft, SMB1 nicht länger standardgemäß zu installieren und alte SMB-Versionen zu deaktivieren bzw. automatisch zu deinstallieren, muss daher als wichtiger Schritt in Richtung Datenschutz gewertet werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Klarer Verstoß von Datenschutz

Das im Netz zu viele kritische Daten ungeschützt abgelegt, geteilt und gespeichert werden ist eine Tatsache. Zwar enthüllt nicht jeder der exponierten Dateien zwangsläufig ein Betriebsgeheimnis oder löst den Notstand aus, die schiere Menge der offengelegten Informationen verdeutlicht jedoch das Ausmaß, in dem der Datenschutz vernachlässigt und verletzt wurde. Von Krankenhäusern gesammelt Patientendaten – einschließlich Diagnosen und medizinischen Scans und Berichten – sind hier das eklatanteste Beispiel. Passwörter lassen sich zurücksetzen und Transaktionen rückgängig machen. Sind persönliche Daten wie Röntgenaufnahmen, Blutwerte und Medikation namentlich genannt erst einmal im Netz zu finden, lässt sich ein Gefühl von Privatsphäre nur noch schlecht aufrechterhalten. Insgesamt fanden die Analysten des Photon Research Teams von Digital Shadows rund 4,4 Mio. DICOM-Bilddateien wie z. B. beim digitalen Röntgen, bei der Magnetresonanztomographie, der Computertomographie oder der Sonographie verwendet werden.

Datenschutzverletzung betreffen auch Unternehmen

Für Unternehmen stellen exponierte Daten in mehrfacher Weise ein Risiko dar. Ihre Angriffsfläche vergrößert sich mit jedem Mitarbeiter und jedem Partner oder Zulieferer, der unbeabsichtigt Daten öffentlich macht. So entdeckte das Analysten-Team beispielsweise einen offenen FTP-Server einer Privatperson, in dem Bewerbungen, Fotos, Passscans und Kontoauszüge ordentlich abgelegt waren. Für potentielle Angreifer sind solche Informationen ein Glücksfall: So können sie einfach die Identität einer Person stehlen und für weitere Aktivitäten nutzen, auch gegenüber dem jeweiligen Arbeitgeber durch Social Engineering.

Ein unkalkulierbares Risiko stellen in diesem Sinne auch Partner, Zulieferer und Dienstleister dar (Third-Party Risks). Nicht alle Unternehmen verfügen über eine eigene Abteilung, die sich um die nötige IT-Sicherheit sorgt und digitale Bedrohungen im Blick behält. Stattdessen werden externe Dienstleister beauftragt. Wie dort mit den Daten im Detail umgegangen wird ist für Kunden nur begrenzt einsehbar. Leistet der Großteil der Sicherheitsfirmen einen guten Job, gibt es jedoch immer auch schwarze Schafe, wie etwa IT-Unternehmen in Großbritannien am eigenen Leib erfahren musste. Über einen Dritten wurden mehr als 212.000 Dateien öffentlich ins Netz gestellt, darunter nicht nur unternehmensinterne Informationen, sondern auch Details von Kunden. Selbst Passwortlisten der Kunden und privaten Telefonnummern fanden sich unter den Unterlagen.

Wie lassen sich Cloud-Speicherdienste sichern?

Daten, die unbeabsichtigt im Netz landen, verschwinden nicht von selbst. Was sich in den letzten Jahren jedoch bewährt hat, ist das aktive sichern von Cloud-Speicherdiensten und ein kontinuierliches Monitoring nach kritischen Daten. Praktisch lassen sich für die gängigsten Dienste folgende Empfehlungen geben: 

Amazon Simple Storage Service (S3) Buckets

  • Amazon S3 Block Public Access: Das neue Sicherheitsfeature wurde erstmals im November 2018 vorgestellt und schränkt den öffentlichen Zugriff auf Buckets deutlich ein. Im Vergleich zu anderen Cloud File Storages ist die Zahl exponierter Daten damit deutlich zurückgegangen – von 16 Mio. im Oktober 2018 auf gerade einmal 1.895 Dateien im Mai 2019.
  • Aktivieren Sie die Protokollierung durch AWS, um unerwünschte Zugänge oder potenzielle Expositionspunkte zu kontrollieren, die in der Erstkonfiguration übersehen wurden.
  • Weitere Empfehlungen zum Schutz von Amazon S3 Buckets finden Sie hier: https://aws.amazon.com/de/premiumsupport/knowledge-center/secure-s3-resources/

Server Message Block (SMB)

  • Blockieren Sie wenn mögliche die Ports 139 und 445
  • Ist das nicht möglich, nutzen Sie IP-Whitelisting, um nur die Systeme zu aktivieren, die zum Zugriff auf diese gespeicherten Dateien berechtigt sind. Stellen sie dabei sicher, dass diese Systeme tatsächlich die einzigen sind, die auf sie zugreifen.
  • Starke und komplexe Passwörter zur Authentifizierung sind nicht zu unterschätzen
  • Die Sicherung von Samba-Server entspricht den allgemeinen Empfehlungen für SMB. Konkrete Guidelines finden Sie auf der Samba Website.
  • Wenn die NamPoHyu-Ransomware Ihre Dateien verschlüsselt hat, verwenden Sie die kostenlose Entschlüsselungssoftware von Emsisoft.

rsync

  • Wird rsync nur intern genutzt, kann der Standard Port 837 für externe Geräteverbindungen deaktiviert werden.

File Transfer Protocol (FTP)

  • Verwenden Sie das SSH File Transfer Protocol (SFTP) als Update für FTP. SFTP fügt das Secure Shell (SSH)-Protokoll hinzu, das die Authentifizierungsinformationen sowie den Datenverkehr selbst verschlüsselt.
  • Die Platzierung des FTP-Servers hängt von seiner Nutzung ab. Gewöhnlich werden FTP-Server hinter einem separaten Abschnitt des Netzwerks platziert, um einen öffentlichen Zugang zu ermöglichen. Ist ein solcher Zugang nicht nötig, gehört der Server hinter die Firewall.

Misconfigured websites (WebIndex)

  • Hier ist die Vorgabe klar: Deaktivieren Sie die Verzeichnisauflistung, es sei denn, es ist ausdrücklich erforderlich.

Network-attached storage (NAS)

  • Ähnlich wie bei FTP, lassen sich auch NAS-Laufwerke intern hinter die Firewall verlegen. Die Implementierung von Zugriffskontrolllisten verhindert ungewollte Zugriffe.
  • Darüber hinaus können Sie eine Authentifizierung mit komplexen Passwörtern hinzufügen, um auf die Laufwerke zu zugreifen.

Stefan Bange, Country Manager DACH, Digital Shadows

www.digitalshadows.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.