Deutscher Serverstandort wichtigstes Auswahlkriterium bei Datenräumen

Deutscher Serverstandort wichtigstes Auswahlkriterium bei Datenräumen

Für Berufsgeheimnisträger, aber auch beim Verkauf von Immobilien und Unternehmen spielen virtuelle Datenräume, auch als „Virtual Data Rooms“ (VDR) bezeichnet, eine immer größere Rolle. Sie erlauben eine raumübergreifende Zusammenarbeit von allen daran Beteiligten. (mehr …)

Entscheiden Sie sich jetzt für deutsche Anbieter von Datenräumen!

Cloud-Computing ist vor allem in Bezug auf die Sicherheit eine stark nachgefragte Technologie. Cloud-Server stellen auf virtuellem Weg Platz für die Speicherung von Daten zur Verfügung. Über den Webbrowser können zugriffsberechtigte Personen diese Daten dann — geschützt durch effiziente Verschlüsselung — (mehr …)

Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten. Emotet wird derzeit weiterhin über groß angelegte Spam-Kampagnen verteilt und stellt daher eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Im Folgenden finden Sie umfangreiche Informationen zur Bedrohung sowie eine Übersicht über mögliche Schutzmaßnahmen.

Datenraum-IT-Sicherheit
(Foto: Fotolia.com, momius)

Was ist Emotet und was macht diese Schadsoftware so gefährlich?

Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

Wie können sich Organisationen vor Emotet schützen?

Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung. Bitte diskutieren Sie die Umsetzbarkeit dieser Schritte im Zweifelsfall mit Ihrer IT-Abteilung bzw. Ihrem IT-Dienstleister.

Folgende Maßnahmen MÜSSEN aus Sicht des BSI innerhalb der IT-Infrastruktur umgesetzt werden:

Folgende Maßnahmen SOLLTEN darüber hinaus umgesetzt sein, um eine Infektion mit Schadprogrammen und deren Ausbreitung im internen Netz zu erschweren:

Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?

Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.

Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.

Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.

Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.

Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.

Melden Sie den Vorfall – ggf. anonym – beim BSI. Diese Informationen sind Voraussetzung für ein klares IT-Lagebild und für eine frühzeitige Warnung potenziell später Betroffener durch das BSI von zentraler Bedeutung.

Stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland.
Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des „Stillstands“ sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) – Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.

Proaktive Information von Geschäftspartnern/Kunden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!

Wo finden wir weiterführende Informationen zum Schutz unserer Organisation?

Die beschriebenen Schutzmaßnahmen betreffen unterschiedliche IT-Bereiche – so ist nicht nur auf einen sicheren Umgang mit E-Mails zu achten, sondern beispielsweise auch auf die Härtung von Arbeitsplatz-PCs. Das Bundesamt für Sicherheit in der Informationstechnik hat in diesem Zusammenhang bereits verschiedene Good Practices veröffentlicht. Im Folgenden finden Sie eine Übersicht über ausgewählte Dokumente:

E-Mail-Sicherheit: Handlungsempfehlungen für Internet-Service-Provider und Betreiber von E-Mail-Servern
Basismaßnahmen der Cyber-Sicherheit

Management von Schwachstellen und Sicherheitsupdates – Empfehlungen für kleine Unternehmen und Selbstständige

Werden Sie Teilnehmer der Allianz für Cyber-Sicherheit, um in Zukunft noch besser informiert und vorbereitet zu sein. Cyber-Opfer gibt es schon zu viele.

Hier geht es zur kostenfreien Registrierung.

Erste Schritte für mehr Cyber-Sicherheit

Im Rahmen der Partnerschaft von dataroomX® mit dem Bundesamt für Sicherheit in der Informationstechnik und der Allianz für Cyber-Sicherheit machen wir gerne auf die aktuellen Informationen für mehr Cybersicherheit aufmerksam. (mehr …)