:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was die Hafnium-Attacke lehrt Sicherheit in Zeiten von Remote Work
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Mitte März gab Microsoft bekannt, dass seine Exchange Server Opfer der chinesischen Hacker-Gruppe Hafnium wurden. Weltweit sind rund 30.000 Systeme betroffen. Der Massenhack wirft einmal mehr die Frage auf, wie Unternehmen Sicherheitsschwachstellen schnell entdecken und beheben können. Das Zero-Trust-Prinzip und KI-gesteuerte Sicherheits-Tools können die Antwort sein.
Zuvor unbekannte Schwachstellen von Microsoft Exchange Server machten es möglich, dass den Hafnium-Angreifern der Zugriff gelingen konnte. Microsoft rief daraufhin sofort eine hohe Warnstufe aus – und auch das Bundesamt für Sicherheit in der Informationstechnik hat eine offizielle Warnmeldung herausgegeben. Mittlerweile ist auch ein Patch von Microsoft verfügbar, doch verlief der Patch-Prozess nicht auf allen Exchange Servern problemlos.
:quality(80)/p7i.vogel.de/wcms/e0/f9/e0f9d49d89755c889093df89ebba8105/0101682842.jpeg "Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt. (Bild: © www.pelzinger.de)")
Microsoft liefert Updates und Skripte, BSI verschickt Briefe
Exchange-Bedrohungslage bleibt angespannt
Bei ihrer Attacke nutzten die Hacker den offenen Port 443. Diesen in der Firewall zu öffnen, ist unter Umständen notwendig, um externe Geräte an das Mail-Konto des Exchange Servers anzubinden. Durch diesen offenen Port hatten die Angreifer die Möglichkeit, eigene Dateien auf dem Exchange Server zu speichern und selbst Prozesse zu starten. Im Hafnium-Fall war das die Installation einer WebShell und der Download von Powershell-Skripten. Auf diese Weise konnten sie Systemprozesse dumpen und analysieren, sich Zugang zu Anmeldedaten verschaffen und weitere Malware installieren. Letztlich bekamen sie über vier Schwachstellen einen uneingeschränkten Zugang zu allen Systemen der betroffenen Unternehmen. Die Folgen der Hafnium-Attacke sind immer noch nicht abzusehen, da immer mehr bösartige Akteure – jenseits von Hafnium – die Opfer auf der ganzen Welt ins Visier nehmen. Sie dringen in noch nicht gepatchte Systeme ein und installieren weitere Malware, um sich langfristig Zugang zu betroffenen Microsoft Exchange Servern zu sichern.
Schwachstellen mit Folgen
Wie der Hafnium-Hack zeigt, hatte der Microsoft Exchange Server ein riesiges Sicherheits-Problem, das lange niemandem bewusst war. Erschwerend kommt hinzu, dass der Microsoft Defender nicht in der Lage ist, diese Art von Angriffen zu verhindern oder zu stoppen. Für Unternehmen – und nicht nur die, die Microsoft Exchange Server nutzen – bedeutet das: Sie sollten sich beim Schutz ihrer Daten nicht auf die Sicherheitslösungen des herstellerseitig mitgelieferten Betriebssystems verlassen. Nutzer der Microsoft Exchange Server, die noch keine Schritte in Bezug auf die Hafnium-Attacke unternommen haben, sollten überdies alle Systeme ihres Unternehmens als kompromittiert betrachten. Die Tatsache, dass die Hacker Zugriff auf alle Mails und Kontakte haben, stellt vor dem Hintergrund der DSGVO ein weiteres, nicht zu unterschätzendes Problem dar.
Endpunkte richtig absichern
Gerade in den vergangenen Monaten, in denen Remote Working sowie Bring-your-own-Device in vielen Unternehmen zum Standard geworden ist, lässt sich aus der Hafnium-Attacke eine wichtige Lehre ziehen. Alle Geräte, die mit dem Exchange Server verbunden sind, sind grundsätzlich potenziell gefährdet.
Damit stehen Unternehmen vor der Herausforderung, wie sie ihre Endpunkte sicher an den Exchange Server anbinden. Der sicherste Weg, um Angriffe zu verhindern, ist keinerlei Zugriffe von außen zuzulassen. Falls doch Angreifer in das System eindringen, lässt sich den Angreifern mit modernen Security-Tools, die künstliche Intelligenz (KI) nutzen, Einhalt gebieten. Dazu gehören EPP- oder EDR-Tools, wie beispielsweise BlackBerry Protect und BlackBerry Optics. Diese können zum Beispiel die Bedrohungsrisiken an den Endgeräten kontinuierlich bewerten. Durch kontinuierliche Risikobewertung kann die Endpunktsicherheit durch Produkte wie BlackBerry Persona direkt mit einer innovativen, dynamischen Zero-trust Strategie weiter erhöht werden.
:quality(80)/p7i.vogel.de/wcms/5e/17/5e17d11658bd0aacd6cb9376a3bbd9d2/97117469.jpeg "Die beiden Zero-Trust-Grundsätze, alles in Frage zu stellen und jeden als Außenseiter zu betrachten, bieten eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden. (©peshkova - stock.adobe.com)")
Kein blindes Vertrauen – gerade im Home Office
Zero Trust im Homeoffice
Der Zero Trust-Ansatz
Hinter dem Begriff Zero Trust verbirgt sich ein Ansatz, der erst durch die jüngsten Fortschritte auf dem Gebiet der KI möglich wurde und der die IT-Systeme von Unternehmen gegen Angriffe von Cyber-Kriminellen umfassend schützt.
Die Idee hinter Zero Trust ist, wie der englische Name schon sagt, ein Sicherheitskonzept, bei dem jedem Gerät, beziehungsweise jedem User standardmäßig nicht vertraut wird. In der modernen, dynamischen Interpretation von Zero Trust bedeutet dies, jeder User erhält zunächst nur minimale, für ihn notwendige Rechte. Je nach Gegebenheit, wie beispielsweise der Standort des Users oder das verwendete Netzwerk, und durch kontinuierliche Analysen des Userverhaltens, lässt sich die Zero Trust-Strategie dynamisch gestalten. Eine KI übernimmt dabei die Vertrauensbewertung. Sie erkennt unter anderem den Standort oder das Netzwerk des Users und steuert dementsprechend den Umfang des Zugriffs. Das alles passiert in Echtzeit. Infolgedessen ist beispielsweise bei Zugriffsanfragen aus dem Netzwerk des Unternehmenssitzes keine Zwei-Faktor-Authentifizierung erforderlich, wenn sie dagegen aus einem Hotel erfolgen schon. Auf diese Weise erhält der User automatisch die notwendige Sicherheit.
Wie Cyber-Security-Tools noch schützen
Des Weiteren gibt es zahlreiche Cyber-Sicherheitsprodukte, die helfen, Unternehmensnetzwerke zu schützen. Erhältlich sind etwa Lösungen für Unified Endpoint Management, wie beispielsweise BlackBerry UEM, die einen sicheren Kanal ins Unternehmensnetzwerk bereitstellen und die es erlauben, dass kein eingehender Port verwendet wird, sodass die Firewall den Zugriff über diesen Port blocken kann. Dank moderner KI-Technologie sind Endpoint-Security-Lösungen ebenso in der Lage, Angriffe direkt zu erkennen. Zusätzlichen Schutz bieten Erweiterungen wie Script Control und Memory Protection.
Dabei wird das Unternehmensnetzwerk ständig überwacht und Dumping-Prozesse werden verhindert. Wenn dann noch Script Control zum Einsatz kommt, ist auch der Schutz vor der Verwendung von Power Shell-Skripten gewährleistet. Andere Sicherheitsprodukte wiederum nutzen EDR-Systeme und können so Angriffe nicht nur erkennen und analysieren, sondern leiten auch Maßnahmen wie Threat Hunting und Root Cause Analysen ein.
:quality(80)/p7i.vogel.de/wcms/8d/cc/8dcc4b98cc4f58188b6997b11ab060c5/0101698447.jpeg "Fürs Home Office gilt: Unternehmen sollten Updates zeitnah einspielen und Cloudlösungen um weitere Schutzfunktionen ergänzen. (Bild: © agcreativelab - stock.adobe.com)")
Zuständigkeit, Sicherheit und Compliance bei hybrider Arbeit
Hafnium wird dunkles Omen fürs Home Office
Was Nutzer von Microsoft Exchange Server tun können
Security-Spezialisten empfehlen Anwendern von Microsoft Exchange Server in jedem Fall dem Rat von Microsoft zu folgen und ihre On-Premise-Systeme sofort zu aktualisieren und – falls nicht schon geschehen – zu patchen. Es ist außerdem ratsam im BlackBerry Optics EDR-System die benutzerdefinierte Win Procdump Lsass CredTheft Mitre-Regel zu aktivieren. Last but not least bieten sowohl der Zero-Trust-Ansatz als auch die Funktionalitäten moderner KI-basierter Cyber-Security Dienste einen Weg, auch die Bedrohungen der nächsten Generation zu erkennen und zu beseitigen.
Über den Autor: Ulf Baltin ist Managing Director DACH bei BlackBerry.
(ID:47580134)
:quality(80)/p7i.vogel.de/wcms/40/40/40403941e9760d220830b7b61eda0934/0114476832.jpeg "Während die spezifischen Taktiken der Hacker variieren können, sind die Phasen eines Angriffs von außen häufig sehr ähnlich. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1d/981de771a525a8f44b1b752531caed81/0111098213.jpeg "Einer Studie zufolge sind 56 Prozent der befragten Unternehmen bereits einer Insider-Attacke zum Opfer gefallen. Dabei legen die Mitarbeitenden zumeist keinerlei kriminelle Absichten an den Tag, sondern werden Opfer von Social Engineering. (Bild: oz - stock.adobe.com)")