IT-Sicherheit Ransomware und Hacks: The Good, the Bad and the Ugly

Anbieter zum Thema

MicroConsult Microelectronics Consulting & Training GmbH

Parasoft® Deutschland GmbH

Wie muss man sich im Falle eines Ransomware-Angriffs verhalten, was bedeutet Social Engineering und wie lässt sich eine Kultur des Sicherheitsbewusstseins schaffen? Alle diese Fragen und mehr beantwortet Prof. Dr. Jürgen Mottok.

Heute ist jeder IT-Nutzer von IT-Systemen Bedrohungen der IT-Sicherheit wie der Ransomware-Attacke ausgeliefert. Weil die Ransomware-Attacken laut Bundeskriminalamt als größter Gefahrentyp einer Schadsoftware gelten, handelt jeder fahrlässig, der sich nicht mit IT-Sicherheit beschäftigt. Bei einer Ransomware-Attacke handelt es sich stets um einen mehrstufigen Schadprogrammangriff, indem die Angreifer sich mit viel krimineller Energie einen initialen Zugang in einen Computer des Netzwerks verschaffen und dann weitere Schwachstellen nutzen für die Verbreitung im Netzwerk.

Häufig werden dabei Daten verschlüsselt und eine Lösegelderpressung findet statt. Wer die möglichen Abläufe einer Ransomware-Attacke kennt, kann eine Vielfalt an Schutzmechanismen etablieren und so das Risiko für einen erfolgreichen Angriff deutlich reduzieren. Darüber hinaus lohnt es sich ein Notfallmanagement zu etablieren, welches bei einem erfolgten erfolgreichen Angriff die Schäden reduziert und in einer akzeptablen Wiederherstellungszeit die Verfügbarkeit des IT-Systems ermöglicht.

Die Cyber Security eines (technischen) Systems ist gefährdet, wenn Täter die Schutzziele der IT-Sicherheit [18] angreifen: Die Vertraulichkeit (Geheimhaltung) will keine Möglichkeit einer unautorisierten Informationsgewinnung öffnen, da nur Berechtigte eine Nachricht lesen sollen, Absender/Empfänger in Erfahrung bringen und die Existenz einer Nachricht erfahren. Die Integrität will keine Möglichkeit einer unautorisierten und unbemerkten Manipulation der zu schützenden Daten.

Prof. Dr. Jürgen Mottok wird auch beim ESE-Kongress vor Ort sein, um über Cyber Security und Eye Tracking zu reden: Schauen Sie sich gerne das Programm des ESE-Kongresses an:

Treffen Sie die Experten der Branche in Sindelfingen

Europas Leitkongress für Embedded Software Professionals

Jedes Jahr im Dezember treffen sich über 1.200 Professionals, um sich über aktuelle Technologien und Methoden zu informieren, Trends zu diskutieren sowie die Weichen für die Zukunft zu stellen.

In 14 Seminaren, 95 Vorträgen und 3 Keynotes warten fachlich fundierte und praxisnahe Inhalte auf die Teilnehmer des ESE Kongress. Der Kongress ist die ideale Plattform, um sich über moderne Methoden des Software Engineering und den Stand der Technik zu informieren. Melden Sie sich an und werden Teil der Embedded-Software-Community.

Jetzt informieren

Die Daten sollen nachweislich unverfälscht vom Sender zum Empfänger kommen. Die Authentizität strebt die Echtheit und Glaubwürdigkeit von Nachrichten an, indem überprüfbar anhand einer eindeutigen Identität und charakteristischen Eigenschaften der Urheber einer Nachricht eindeutig nachprüfbar wird.

Die Verbindlichkeit (Nichtabstreitbarkeit) will, dass an entsprechenden (Inter-) Aktionen beteiligte Parteien (Absender) oder Dienste ihre Beteiligung (Urheberschaft) im Nachhinein nicht abstreiten können. Die Verfügbarkeit will ermöglichen, dass authentifizierte und autorisierte Parteien in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.

Alle diese Schutzziele sind prinzipiell durch Schadsoftware gefährdet. Ransomware-Attacken gelten laut Bundeskriminalamt als größter Gefahrentyp einer Schadsoftware. Ransomware in seinen unterschiedlichen Varianten zielt in der Regel auf die Verschlüsselung von Nutzerdaten ab. Das Vorgehen der Täter zählt zu den fortschrittlichen Angriffen, deren Weiterentwicklung das BSI seit Jahren beobachtet und in den Lageberichten zur IT-Sicherheit dokumentiert. [5,8]

Die Kill-Chain

Die Kill-Chain [1] stellt eine idealisierte Form eines Angriffs dar. Die Kill-Chain findet sich in Abbildung 1. Zunächst erkunden die Hacker ihre Opfer. Immer wenn Angreifern dank aktueller Software sowie Firewalls und Virenscannern keine Kompromittierung mittels technischer Angriffe auf Sicherheitslücken gelingt, fokussieren sie sich auf den Faktor Mensch (oft in Kombination mit technischen Schwachstellen) als schwächstes Glied in der Sicherheitskette.

Im nächsten Schritt wird Schadsoftware verteilt und der Schadcode an Patient Zero ausgeführt. Beim folgenden Schritt Lateral Movement findet eine Privilegieneskalation (Ausweiten der Rechte) statt und das Exploit wird über das Intranet auf weitere Rechner verteilt. Das unentdeckte Kopieren der relevanten Daten wird als Exfiltration bezeichnet. Besonders versierte Hacker verwischen ihre Spuren und löschen bspw. Log-Daten und Ereignisse angegriffener Server.

Abläufe einer Ransomware-Attacke

Die Abläufe einer Ransomware-Attacke [2,3,10,19] (Mehrstufiger Schadprogrammangriff) sind in Abbildung 2 dargestellt. Der Hacker sucht nach einem initialen Zugang in das Computernetzwerk. Dabei werden unterschiedliche Strategien genutzt wie beispielsweise:

• Phishing (Password Fishing)

• Passwörter erraten [9]

• Software-Sicherheitslücke

• E-Mail mit Anhang eines Infektionsvektors

Der Hacker trifft Vorbereitungen für eine weitere Ausbreitung der Schadsoftware und will Zugriffe auf weitere Computer des Netzwerks bekommen. Gelingt ihm dies, wird oft eine Erhöhung der Nutzerrechte (Privilegieneskalation) durchgeführt und weitere Schadsoftware nachgeladen. Das Ziel des Hackers ist häufig die Daten auszuleiten, Backups zu zerstören und Daten zu verschlüsseln. Im Anschluss findet eine Erpressung statt und Lösegeld wird gefordert.

Schutzmechanismen

CERT New Zealand [3] schlägt zahlreiche Schutzmechanismen der Systemhärtung vor, die das Risiko einer erfolgreichen Ransomware-Attacke reduzieren:

• Regelmäßige Backups

• Patchen von Security Updates [14,15,16,17]

• Applications-Whitelistíng

• Multi-Faktor-Authentifizierung

• Logging und Alarmierung

• Segementierung des Netzwerks

• Makros deaktivieren

• Minimale Privilegien (Security by Design)

• Passwort-Manager

Da der Faktor Mensch eine wichtige Determinante der IT-Sicherheit ist, wird die Schaffung einer Sicherheitskultur [4] hinzugefügt:

• Sicherheitsbewusstsein

Im Falle eines erfolgreichen Angriffs wird angestrebt, dass das IT-System möglichst schneller wieder verfügbar sein soll. Hierzu ergänzt das BSI das Thema Notfallmanagement [12]:

• Detektion und Reaktion (auch Notfallmanagement)

Social Engineering

Social Engineering [7] ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln.

Elizitieren: Im Gespräch versucht der Angreifer auf subtile Weise relevante Informationen zu extrahieren. Funktioniert, weil Menschen höflich sein wollen oder gerne mehr reden, wenn sie gelobt werden.

Beim Pretexting werden falsche Tatsachen vorgetäuscht (erfundenen Hintergrundgeschichte, Verhalten (Dialekte, Redensarten, …), Angepasstes Aussehen (Kleidung, Frisur, …), Andere Identität).

Etablierung einer Kultur des Sicherheitsbewusstseins

Mitarbeiter sind ein wichtiger Erfolgsfaktor für ein hohes Maß an Informationssicherheit in einer Institution. Daher ist es wichtig, dass sie die Sicherheitsziele kennen, die Sicherheitsmaßnahmen verständlich sind und jeder einzelne Mitarbeiter bereit ist, diese umzusetzen. Die Voraussetzung dafür ist, dass es ein Sicherheitsbewusstsein innerhalb der Institution gibt. Darüber hinaus sollte eine Sicherheitskultur aufgebaut und im Arbeitsalltag mit Leben gefüllt werden. [6]

Ein Fragenkatalog als Checkliste zur Etablierung einer Sicherheitskultur wie folgt [4]:

• 1. Sind die Mitarbeiter Partner in der Sicherheitskultur (Selbsteinschätzung)?

• 2. Werden die Mitarbeiter regelmäßig in sicherheitsrelevanten Themen geschult?

• 3. In welchem Maße sind die Mitarbeiter eigenverantwortlich an Themen der IT-Sicherheit beteiligt?

• 4. Werden vertrauliche Informationen und Datenträger mit vertraulichen Informationen sorgfältig aufbewahrt und zusätzlich geschützt?

• 5. Erhalten alle Mitarbeiter einen Sicherheitsleitfaden, in dem sämtliche sicherheitsrelevante Themen und ein Verhaltenskodex enthalten sind?

• 6. Sind alle Mitarbeiter mit den Grundsätzen des rechtskonformen Umgangs mit personenbezogenen Daten vertraut (DSGVO)?

• 7. Werden vertrauliche Informationen vor Wartungs- und Reparaturarbeiten von Datenträgern und IT-Systemen, die Mitarbeitern von Fremdfirmen zugänglich sein könnten, entfernt und gelöscht?

• 8. Gibt es Maßnahmen, die das Sicherheitsbewusstsein der Mitarbeiter erhöhen sollen?

• 9. Werden Lernmaterialien zum Training der IT-Sicherheit eingesetzt?

• 10. Wird der Kenntnisstand der Mitarbeiter in IT-Sicherheit regelmäßig überprüft?

• 11. Werden die bestehenden Sicherheitsvorgaben kontrolliert und Verstöße dagegen „geahndet“?

• 12. Ist jedem Mitarbeiter klar, wie er sich bei einem Verdacht auf eine Schadcode-Infektion oder einer anderen Art des Angriffs (Hacking, Wissenschaftsspionage, Phishing-Mails etc.) verhalten sollte?

Notfallmanagement

Eine Checkliste der Sofortmaßnahmen bei einem Ransomware-Angriff [11] wie folgt:

• Trennen aller Netzwerkverbindungen: Unterbindet die Kommunikation zum Angreifer; ggf. Stopp von Datenabgriff

• Meldung an die Informationssicherheit und Notfallmanagement-Verantwortlichen: Erste Analyse der Lage; ggf. Erhebung weiterer Nachweise zum Angriff; Eskalation an höherer Ebene

• Entscheiden, ob IT-Notfall ausgerufen wird: Wenn IT-Notfall ausgerufen wird: Einbeziehung weiterer Ressourcen (auch extern);

• Entscheidung über Meldung an Behörden (ggf. BSI, Polizei, LKA und Datenschutz)

• Snapshot erstellen und offline lagern: Daten sind für den Fall einer Vollverschlüsselung [und späterer forensischer Analyse] gesichert

• Patient Zero ermitteln: Eingrenzen der Angriffswege; Ableitung von Sofortmaßnahmen für den Notbetrieb und den Wiederaufbau

• Protokolldateien von Firewalls, Proxys, AD-Domänencontrollern sichern (AD=Active Directory): Vorbereitung für die interne und externe Analyse; Nachvollziehbarkeit des Angriffs schaffen

• Übergabe an interne oder externe Spezialisten: Professionelle Aufbereitung des IT-Notfalls

Das BSI empfiehlt zur Etablierung eines wirksamen Notfallmanagements Tests und Übungen [12]: Die Simulation von Notfallszenarien soll die Alarmierung und die Eskalation, die Notfallbewältigung, die Arbeit des „Krisenstabs“ und die Zusammenarbeit aller beteiligten Stellen erfassen. Eine Ernstfall- oder Vollübung soll das Wiederanlaufkonzept und Einspielen der Datensicherung (Backup) ggf. Ersatzsysteme verifizieren. Abbildung 3 zeigt die modellierte Wiederanlaufzeit als Teil des Notfallmanagements [12, 13].

Cyber Security - The Good, the Bad and The Ugly

Eine Blitzumfrage am Software Engineering Laboratory for Safe and Secure Systems, LaS³, OTH Regensburg, 22.04.2022, ist in folgender Tabelle 1 zusammengefasst.

Zusammenfassung

Nicht nur die Hoffnung, sondern Prozesse, Methoden und Techniken lassen uns die Plagen der Cyber Security in einer gelebten Sicherheitskultur beherrschen. Dabei hilft uns das normative Umfeld und Empfehlungen (ISO 2700x, BSI Grundschutz). Dennoch bleibt ein Restrisiko. Wir müssen wachsam sein, Systeme pflegen, defensiv konfigurieren, Angriffsflächen minimieren, Sicherheitsupdates einspielen, usw.. Dieser Aufwand wird Zeit und Ressourcen beanspruchen. IT-Sicherheit gibt es ebenso wenig wie funktionale Sicherheit zum Null-Tarif!

Literatur- und Quellenverzeichnis

[1] Timo Steffens: Auf der Spur der Hacker, Wie man die Täter hinter der Computer-Spionage enttarnt, Springer, Berlin, 2018.

[2] Jürgen Mottok: Cyber Security - The Good, the Bad and the Ugly, 1. Regensburger Cyber Security Kongress, Regensburg, 25.04.2022.

[3] CERT New Zealand: How Ransomware happens and how to stop it, Lifecycle of a Ransomware Incident, https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ (22.04.2022)

[4] Frank Simon, Jürgen Grossmann, Christian Alexander Graf, Jürgen Mottok, Martin A. Schneider: Basiswissen Sicherheitstests, Aus- und Weiterbildung zum ISTQB® Advanced Level Specialist – Certified Security Tester, Erscheinungsdatum April 2019, dpunkt.verlag, 2019.

[5] BSI: Die Lage der IT-Sicherheit in Deutschland 2021, https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

[6] BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

[7] Christopher Hadagny: Die Kunst des Human Hacking, mitp, Rheinbreitbach, 2011.

[8] BSI: Maßnahmenkatalog Ransomware, 24.02.2022, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf

[9] BSI: Sichere Passwörter erstellen, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

[10] Inés Atug, Daniel Jedecke: Ransomware-Angriffsmuster und der Schutz dagegen – Selbstverteidigung, iX 2/2022.

[11] Uwe Grams, Yannik Wiederhöft: Raus aus der Panik, Nach dem Angriff: die Arbeit eines Incident-Response-Teams, iX 2/2022.

[12] BSI: BSI-Standard 100-4, Notfallmanagement, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html (24.04.2022).

[13] BSI: DER: Detektion und Reaktion, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

[14] BSI: Maßnahmenkatalog Ransomware, 24.02.2022, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf

[15] MITRE ATT&CK: https://attack.mitre.org/

[16] CVE: https://cve.mitre.org/

[17] CWE (Common Weakness Enumeration): https://cwe.mitre.org

[18] Claudia Eckert: IT-Sicherheit - Konzepte - Verfahren - Protokolle.

10. Auflage. Oldenburg: De Gruyter, 2018.

[19] Dennis Schirmacher: Punktgenau dazwischenfunken, c’t 2021, Heft 22.

(mbf)

* Prof. Dr. Jürgen Mottok, Informatik-Professor, engagiert sich seit 2004 als Forschungs-professor (2016 Neuberufung auf ZD.B-Professur) für „Safe and Secure software-intensive Systems“ an der OTH Regensburg. Seine Lehrgebiete sind sowohl die Grundlagenvorlesungen Software Engineering und Programmiersprachen als auch die Spezialvorlesungen Funktionale Sicherheit und IT-Sicherheit (mit angewandter Kryptographie), sowie Zuverlässigkeit. Sein methodisches Merkmal ist die enge Verzahnung von anwendungsorientierter Forschung (Domänen: Automotive, Automation, Critical Infrastructure) mit den genannten Lehrgebieten in Formaten aktivierender Lernarrangements. Er leitet wissenschaftlich das Software Engineering Laboratory for Safe and Secure Systems (LaS³). In diesem innovativen Umfeld werden zahlreiche Forschungsprojekte durchgeführt und akademische Bildungsbiographien (Bachelor, Master, Promotion) erlebbar. Fünf seiner ehemaligen Doktoranden sind inzwischen selbst zum Professor berufen. Prof. Dr. Jürgen Mottok ist Vorstandsmitglied des IT-Sicherheitsclusters, Mitglied des Leitungsgremiums der Regionalgruppe Ostbayern der Gesellschaft für Informatik, Organisator des Fachdidaktik-Arbeitskreises Software Engineering der Bayerischen Hochschulen. Auch ist er in Programmkomitees zahlreicher wissenschaftlicher Konferenzen (IEEE, ACM, GI, …) vertreten. Er ist Träger des Preises für herausragende Lehre, der vom Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst am 27.04.2010 vergeben wurde. Am 04.12.2015 wurde Prof. Dr. Jürgen Mottok der „Preis für besondere Leistungen bei der Zusammenarbeit zwischen Wirtschaft und Wissenschaft“ verliehen.

(ID:48734651)