Newmedia365.de

Schlagwort: Cyberangriff

  • Bericht von Akamai zeigt: Deutschland besonders betroffen von Cyberkriminalität im Einzelhandel

    Bericht von Akamai zeigt: Deutschland besonders betroffen von Cyberkriminalität im Einzelhandel

    Mit 49 Prozent der Angriffe im Einzelhandel ist EMEA mittlerweile die am häufigsten betroffene Region und übertrifft Nordamerika mit 42 Prozent; Deutschland liegt mit über 3,1 Milliarden Angriffen an

    BildAkamai Technologies, Inc. (NASDAQ: AKAM), das Cloudunternehmen, das das digitale Leben unterstützt und schützt, hat einen neuen „State of the Internet“-Bericht veröffentlicht. Dieser hebt die zunehmende Anzahl und Vielfalt von Angriffen auf den Handelssektor hervor. „Eine Analyse der Bedrohungstrends im Handelssektor“ zeigt, dass der Handel nach wie vor die am stärksten ins Visier genommene Branche ist. Weltweit werden auf diesen Sektor mehr als 14 Milliarden Angriffe verzeichnet, in der EMEA-Region sind es 4,6 Milliarden Angriffe.

    Für den Bericht untersuchte Akamai seine Datensätze in Bereichen wie Webanwendungen, Bots, Phishing und die Verwendung von Skripten von Drittanbietern, um genaue Kenntnisse über die Geschehnisse in diesem Sektor zu erhalten. Damit hilft das Unternehmen Cybersecurity-Führungskräften und -Praktikern, die Bedrohungen auf die Handelsbranche zu verstehen.

    EMEA-weit ist der Einzelhandel der bei Weitem am stärksten angegriffene Bereich des Handelssektors. Deutschland ist am stärksten von diesem Trend betroffen. Vermutlich haben mehrere Schlüsselfaktoren zu diesem Ausmaß an Angriffstraffic in Deutschland beigetragen: Die öffentliche Unterstützung der Ukraine, die anhaltende Zunahme von LFI-Angriffen (vgl. dazu einen früheren Bericht von Akamai), die zur Remoteausführung von Code und somit Netzwerkzugriff sowie tiefgreifenden Sicherheitsverletzungen wie Ransomware-Angriffen führen kann, und außerdem die Auswirkungen negativer Social-Media-Kampagnen.

    Weitere wichtige Erkenntnisse in „Eine Analyse der Bedrohungstrends im Handelssektor“:
    o Schädliche Bots nehmen auch Verbraucher ins Visier. Aus dem Bericht geht hervor, dass zwischen Januar 2022 und März 2023 die Zahl der schädlichen Bots, die den EMEA-Handel angriffen, fast 835 Milliarden betrug.
    o Die Verwendung von LFI ist mehr als doppelt so hoch wie die nächsthäufigste Angriffsmethode im EMEA-Einzelhandel (59 Prozent).
    o Vor allem der Handelssektor ist in EMEA im Visier von Webanwendungs- und API-Angriffen – er ist mit 51 Prozent die am häufigsten angegriffene Branche. An zweiter Stelle folgen weit abgeschlagen Videomedien mit 13 Prozent.
    o 51 Prozent der Skripte, die von Handelsorganisationen in EMEA verwendet werden, stammen von Dritten. Das ist deutlich höher als die Anzahl der Skripte von Dritten, die in anderen Sektoren genutzt werden (31 Prozent).
    o Das Vereinigte Königreich steht bei der Anzahl der Angriffe in der EMEA-Region mit 397 Millionen Webangriffen im Einzelhandel an zweiter Stelle nach Deutschland.

    „Der Handel bietet Cyberkriminellen ein ideales Umfeld, da er eine enorme Menge an sensiblen Kundendaten umfasst. Diese können schnell kompromittiert werden, da die Branche weniger reguliert ist als andere, obwohl sie dieselbe Sicherheit benötigt. Die in Deutschland beobachtete Situation im Handelssektor kann als Hinweis auf die Zukunft angesehen werden: Sie bietet das perfekte Zusammenspiel von verschiedenen Faktoren, die solche Angriffswellen in jedem Land möglich machen“, so Richard Meeus, Director of Security Technology and Strategy, EMEA, bei Akamai. „Unternehmen sollten wachsam bleiben und ihre digitale Ladenfront sorgfältig schützen, damit Verbraucher ein sicheres und botfreies Einkaufserlebnis genießen können. Und Verbraucher sollten die besten Vorgehensweisen in Bezug auf Cybersicherheit wie starke Passwörter und regelmäßige Software-Updates beachten, um Angriffe abzuwehren.“

    Verantwortlicher für diese Pressemitteilung:

    Akamai Technologies
    Frau Helen Farrier
    — —
    — —
    Deutschland

    fon ..: 0211-54-087-725
    fax ..: —
    web ..: https://www.akamai.com/de
    email : akamai-pr@fleishman.com

    Über Akamai
    Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloud-Plattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern. Möchten Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf Twitter und LinkedIn.

    Pressekontakt:

    FleishmanHillard Germany GmbH
    Frau Ann-Charlott Stegbauer
    Blumenstraße 28
    80331 München

    fon ..: +49-89-230-316-0
    web ..: http://www.fleishman.de
    email : akamai-pr@fleishman.com

  • Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Eigenes Risiko bei Cyberangriffen auf Zulieferer reduzieren

    In der Supply Chain sind verschiedene Unternehmen miteinander verbunden. Doch was, wenn ein Zulieferer einen Cyberangriff erleidet? Ein solcher IT-Sicherheitsvorfall bei einem Mitglied der Lieferkette kann auch das eigene Unternehmen betreffen und drastische Folgen nach sich ziehen. So könnten sich 2022 bis zu 60 % der Sicherheitsfälle außerhalb der Grenzen des eigenen Unternehmens ereignen[1]. Mit vorausschauenden Maßnahmen zum Supply Chain Risk (SCR) Management lässt sich verhindern, dass Cyberangriffe auf Mitglieder der Lieferkette auch das eigene Unternehmen empfindlich treffen.

    Ein Kommentar von Fred Tavas von Trustwave

    Zu den möglichen Folgen eines Cybersicherheitsvorfalls in der Supply Chain zählen vor allem ein drohender Stillstand auch des eigenen Geschäftsbetriebs sowie der Diebstahl von Daten, die beim Lieferanten gespeichert sind. Doch wie lässt sich das verhindern?

    Zunächst sollte Unternehmen ihre Lieferanten kennen. Dieser Punkt klingt selbstverständlich – aber viele Unternehmen wissen gar nicht genau, wer sich hinter ihren Lieferanten verbirgt. Der erste Schritt auf dem Weg zu einem sicheren SCR Management sollte daher die Auflistung aller Supplier sein. Oftmals geschieht dies nur nach der Höhe der Service- oder Lieferkosten. Lieferanten, die diese Schwelle nicht erreichen, werden meistens auch nicht genauer analysiert. Einige der Lieferanten, die auf diese Weise durch das Raster fallen, sollten aber vielleicht doch besser überprüft werden – wie beispielsweise der Drucker der jährlichen Corporate-Geschenke, der die gesamte Kundenliste eines Unternehmens besitzt.

    Anschließend sollte man diese Liste sortieren und alle Zulieferer nach ihrer Kritikalität bewerten: Welche sind für das eigene Unternehmen wichtig? Und welche Auswirkungen könnte ein Cybersicherheitsvorfall bei diesen Lieferanten haben? Besonders wichtig sind solche Lieferanten, die Zugriff auf Systeme des Unternehmens, klassifizierte Daten oder persönlich identifizierbare Informationen (PII) haben. Diese kritischen Zulieferer sollten dann eingehender überprüft und analysiert werden.

    Regelmäßiges Risk Assessment ist elementar

    Cybersecurity Frameworks helfen bei der Definition und Überwachung von Security Policies. Sie enthalten Standards, Richtlinien und Best Practices, um das individuelle Cybersicherheitsrisiko zu bewerten. Bei regelmäßiger Anwendung ist so ein kontinuierliches Monitoring von IT-Sicherheit und -Systemen gewährleistet. Frameworks wie das National Institute of Standards and Technology (NIST) Cybersecurity Framework lassen sich nicht nur auf das eigene Unternehmen anwenden, sondern sind auch für die Bewertung des IT-Sicherheitsrisikos von Zulieferern optimal geeignet.

    Die Bewertungsfragen eines Frameworks beinhalten etwa die Fähigkeit des Anbieters zur Datenverschlüsselung, die Verwendung von Mehrfaktor-Authentifizierung (MFA), Passwortrichtlinien sowie die Verwaltung von Patchprogrammen, Architektur und Segmentierung des Netzwerks sowie Cloud-Nutzung. Da auf Assessment-Fragen auch unwahr geantwortet werden kann, sollten Nachweise angefordert werden. Dies können beispielsweise Bestätigungen zur Einhaltung von Sicherheitsrichtlinien, Berichte von Penetrationstests, Zertifizierungen wie DIN EN ISO 27001 oder Audits des Standards SOC 2 (System and Organization Controls 2) sein.

    Die richtigen Schlüsse ziehen

    Zu wissen, welche Parameter in die Risikobewertung eines Lieferanten einfließen und wie sich diese Schwachstellen auf das eigene Unternehmen auswirken können, ist elementar. Beispielsweise hat ein Zulieferer SSL-Schwachstellen: Stellen diese nun ein Problem für das eigene Unternehmen dar? Wenn der Anbieter die Kundendaten des Unternehmens auf einem öffentlich zugänglichen System speichern sollte: definitiv; wenn er aber nur Blumen an der Rezeption bereitstellt, wirkt sich diese Schwachstelle nicht auf das eigene Unternehmen aus.

    Die Interpretation der Vielzahl von Cybersicherheitsberichten, Zertifikaten, Scans und Rich-Text-Antworten erfordert eine große Wissensspanne. Über diese verfügen die meisten IT- oder Audit-Generalisten nicht, und KI-basierte Sicherheitsscans können die Daten zudem nicht mit Genauigkeit verarbeiten. Unternehmen können die Auswertung und Interpretation ihres Risk Assessment daher an einen externen Provider auslagern. Neben der schnellen und fachkundigen Auswertung kann ein solcher Provider auch Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken bei Hochrisikolieferanten bieten.

    Threat Detection sollte Teil der SCR-Strategie sein

    Wie die SolarWinds-Schwachstelle aus 2020 zeigte, kann keine noch so gute Risikobewertung vor einem potenziellen nationalstaatlichen Angriff schützen. Ein Dienst oder eine Funktion zur Erkennung von Bedrohungen warnt jedoch in Echtzeit vor Vorfällen und Verstößen. Zumindest lässt sich so schnell reagieren und bestenfalls die Bedrohung stoppen, bevor sie die kritischen Systeme des eigenen Unternehmens erreicht.

    Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann helfen, die Resilienzfähigkeit eines Unternehmens gegen Risiken in der Lieferkette zu verbessern. Die Ergreifung geeigneter Maßnahmen verkürzt die Zeit, die benötigt wird, um ein SCR-Managementprogramm in Gang zu bringen. MSSP können auch helfen, wenn Unternehmen interne Cyberrisikobewertungen überdenken wollen oder einen effizienten externen Anbieter suchen, der diese Aufgabe für sie übernimmt.

    [1] https://www.forrester.com/blogs/predictions-2022-continued-uncertainty-forces-attention-on-securing-relationships/

    Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.

    Firmenkontakt
    Trustwave Germany GmbH
    Stephen Balogun
    The Squaire 12
    60549 Frankfurt am Main
    +447710 712 125
    Stephen.Balogun@trustwave.com
    https://www.trustwave.com/de-de/

    Pressekontakt
    Sprengel & Partner GmbH
    Samira Liebscher
    Nisterstrasse 3
    56472 Nisterau
    +49 2661-912600
    trustwave@sprengel-pr.com
    https://www.sprengel-pr.com

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.

  • Die größten Cyberkriminalität-Trends 2022

    Die größten Cyberkriminalität-Trends 2022

    Ransomware-as-a-Service und personalisiertes Spear-Phishing
    werden vor allem die Fertigungsindustrie und KMUs treffen

    München, 19. Januar 2022 – Zix Corporation (Zix) (Nasdaq: ZIXI), führender Anbieter von Cloud-Lösungen für E-Mail-Sicherheit, Produktivität und Compliance, macht auf die drei größten Trends bei Cyberkriminalität im Jahr 2022 aufmerksam. Die Cyberangriffe werden an Methoden und Angreifern zunehmen – im Zentrum stehen Ransomware-as-a-Service und personalisiertes Phishing. Vor allem kleine und mittlere Unternehmen (KMUs) und insbesondere die Fertigungsbranche werden betroffen sein.

    Unter Covid-19 haben Cyberkriminelle sich schnell an die Pandemiebedingungen angepasst: Sie nutzen die entstandene Unsicherheit gekonnt für ihre Zwecke. Das Gefährdungspotenzial von Cyberangriffen ist daher weiterhin auf hohem Niveau und wird sich 2022 noch verschärfen. Größtmögliche Sicherheit in Bezug auf IT-Infrastrukturen und Unternehmensnetzwerke ist essenziell. Die folgenden drei Trends erwartet Zix in der Entwicklung der Cyberkriminalität im Jahr 2022:

    Hersteller aufgepasst: Cyberangriffe werden rasant zunehmen
    Ungeschützte Infrastrukturen in der Fertigungsindustrie sind seit jeher ein beliebtes Ziel für Cyberangriffe. Angesichts anhaltender Lieferengpässe noch bis weit in das Jahr 2022 hinein werden Angreifer jede Gelegenheit nutzen. Dies wird die Fertigungs- und Distributionsbranche im nächsten Jahr zur Hauptangriffsfläche für Cyberkriminelle machen.

    KMUs im Visier: Ransomware-as-a-Service
    Auch das Angebot von Ransomware-as-a-Service wird weiter wachsen. Die Schadsoftware, die gegen Bezahlung genutzt werden kann, hat sich für Cyberkriminelle als äußerst effizientes Mittel zur Gewinnmaximierung erwiesen. Das Bundesamt für Sicherheit in der Informationstechnik wägt in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2021 besonders kleine und mittlere Unternehmen in Gefahr. Ransomware-Gruppen werden zunehmend KMUs ins Visier nehmen, um weniger Aufmerksamkeit zu erregen als bei größeren, auffälligeren Zielen.

    Achtung: Personalisiertes Phishing
    Spear-Phishing-Angriffe werden nicht verschwinden. Im Gegenteil: Das personalisierte Phishing, bei dem Cyberkriminelle E-Mails personalisieren, um sie an kleine Personengruppen anzupassen und authentischer erscheinen zu lassen, wird 2022 weiter zunehmen. Unternehmen können sich wappnen, indem sie ihre Sicherheitstechnologien und -prozesse aktualisieren und auf dem neuesten Stand halten.

    Cyberkriminelle Bündnisse: Angreifer schließen sich zusammen
    Die Entwicklung von Malware-as-a-Service und Phishing-as-a-Service zeigt, dass Cyberkriminelle ihre Kräfte bündeln, um den Erfolg zu maximieren. Der Einsatz dieser Taktiken ist mittlerweile ein einträgliches Geschäftsmodell, das im Darknet als Dienstleistung angeboten und auch von unerfahrenen Personen in Anspruch genommen wird. Später teilen sich Schadsoftware-Hersteller und Kunde die erpressten Lösegelder auf. Aus eigentlich in Konkurrenz stehenden Cyberkriminellen werden Partner mit engen Geschäftsbeziehungen, die den weiteren Erfolg sicherstellen.

    Weitere Informationen:
    Die Zix Threat Map liefert eine Echtzeit-Visualisierung von Bedrohungsdaten aus der ganzen Welt. Wie Unternehmen sich schützen können, erfahren Sie auf der deutschen Website von Zix.

    Bildmaterial zum Download: Zix Threat Map

    Zix Corporation (Zix) ist ein führender Anbieter für E-Mail-Sicherheit, Produktivität und Compliance. Weltweit vertrauen wichtige Institutionen des Gesundheitswesens, Finanzwesens und der öffentlichen Verwaltung auf Zix. Das Unternehmen bietet benutzerfreundliche Lösungen für E-Mail-Verschlüsselung und Data Loss Prevention, Advanced Threat Protection und einheitliche Informationsarchivierung. Mit dem Fokus auf den Schutz der internen Unternehmenskommunikation ermöglicht Zix seinen Kunden, ihre Daten besser zu schützen und Compliance-Anforderungen zu erfüllen. Zix wird am Nasdaq Global Market unter dem Symbol ZIXI öffentlich gehandelt. Für weitere Informationen besuchen Sie www.zixcorp.com

    Firmenkontakt
    Zix Corporation
    Sven Rous / Senior Channel Account Manager
    — —
    — —

    srous@zixcorp.com
    https://zix.de/

    Pressekontakt
    Lucy Turpin Communications
    Birgit Fuchs-Laine / Noemi Kegler / Constanze Auch
    Prinzregentenstraße 89
    81675 München
    +49 89 417761-13 / 18 / 42
    zix@lucyturpin.com
    https://www.lucyturpin.de/

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.

  • „Patientendaten sind in keiner Cloud sicher“ – Softwareanbieter Medatixx gehackt

    Deutsches Psychotherapeuten Netzwerk (DPNW) sieht Befürchtungen bestätigt, dass digitale Cloudbetreiber keine endgültige Sicherheit bieten.

    Wie mehrere ärztliche Fachmedien berichten wurde Mitte vergangener Woche das Software- und Gesundheitscloud-Unternehmen Mediatixx gehackt. Die Webseite www.mediatixx.de ist aktuell nicht erreichbar. Damit wurde das erste deutsches Unternehmen dieser Branche Opfer einer erfolgreichen Cyberattacke. Der Angriff fand bereits letzte Woche statt. Bisher hat das Unternehmen keine Lösung gefunden, um seine IT-Probleme zu beseitigen.

    Mediatixx infomiert die Öffentlichkeit mit folgenden Worten: „Mitte vergangener Woche wurden wir Ziel eines Cyber-Angriffs, bei dem wichtige Teile unseres internen IT-Systems verschlüsselt wurden. Infolgedessen sind unsere Erreichbarkeit sowie der gesamte Unternehmensbetrieb derzeit stark beeinträchtigt.“

    Weiter heißt es: „Es kann daher nicht ausgeschlossen werden, dass bei uns gespeicherte Daten entwendet wurden. Wir empfehlen Ihnen deshalb ausdrücklich, unverzüglich vorsorglich Ihre Passwörter zu ändern.“

    Der Vorsitzende des Deutschen Psychotherapeuten-Netzwerkes (DPNW) Dieter Adler kommentiert das Geschehen: „Alle Cloudbetreiber behaupten, die Patientendaten sind sicher! Das ist eine fromme Lüge. Heute wissen wir, selbst ein Schwergewicht, wie Mediatixx, kann gehackt werden. Es zeigt sich, Patientendaten sind in keiner Cloud sicher! Wir fordern die Abkehr von diesem digitalen Irrweg: Patientendaten haben in einer Cloud nichts zu suchen!“

    Dieter Adler meint weiter: „Mediatixx tappt noch völlig im Dunkeln und weiß noch nicht einmal, ob und in welchem Umfang Daten entwendet wurden. Das ist eine Bankrotterklärung eines der führenden Unternehmen in der digitalen Medizinbranche!“

    Gleichzeitig fordert das DPNW einen sofortigen Stopp der Telematik Infrastruktur. Dieter Adler sagt: „Es ist nur noch eine Frage der Zeit bis diese auch gehackt sein wird.“

    In der Branche der Praxissoftware-Hersteller gehört Mediatixx mit Hauptsitz in Eltville am Rhein zu den größten Anbietern. Fast ein Drittel aller niedergelassenen Humanmediziner in Deutschland arbeiten mit einer Praxis- oder Ambulanzsoftware von Medatixx. Das Unternehmen verfügt über 19 eigene Standorte und arbeitet mit 45 Vertriebspartnern zusammen.

    Über den Verband
    Das „Deutsche Psychotherapeuten Netzwerk – Kollegennetzwerk Psychotherapie“ (DPNW) wurde am 02.05.2019 in Bonn gegründet. Es hat 1.800 Mitglieder und 12.000 Abonnenten seines Freitags-Newsletters. Damit ist der DPNW drittgrößter Berufsverband im Bereich Psychotherapie. Der Vorstand besteht aus: 1. Vorsitzender: Dipl.-Psych. Dieter Adler, 2. Vorsitzende: Dipl.-Psych. Claudia Reimer, Kassenwart: Dipl.-Psych. Robert Warzecha. Mehr unter: www.dpnw.de

    Verantwortlicher für diese Pressemitteilung:

    Deutsches Psychotherapeuten Netzwerk
    Herr Dieter Adler
    Siebengebirgsstraße 86
    53229 Bonn
    Deutschland

    fon ..: 0228-7638203-0
    web ..: http://dpnw.info
    email : presse@dpnw.info

    Diese Pressemitteilung darf unverändert oder gekürzt weiterverbreitet werden.

    Pressekontakt:

    Hanfeld PR
    Herr Ulrich Hanfeld
    Konstantinstraße 31
    53179 Bonn

    fon ..: 01751819772
    web ..: http://www.hanfeld-pr.de#
    email : mail@hanfeld-pr.de

  • Mit forensischen Methoden Angriffsvektoren vollständig aufklären

    Mit forensischen Methoden Angriffsvektoren vollständig aufklären

    Digital Forensics und Incident Response (DFIR)

    Digital Forensics und Incident Response (DFIR) kommt dann zum Einsatz, wenn ein Unternehmen Opfer einer Cyber-Attacke wurde und alle anderen IT-Sicherheitsvorkehrungen versagt haben. Anhand von Artefakten, also Spuren von Angreifern, welche auf einem kompromittierten System hinterlassen wurden identifizieren Forensiker die Angriffsvektoren und ermitteln den Umfang des Schadens. Anschließend werden Gegenmaßnahmen eingeleitet und Schutzmechanismen aufgebaut, um Angriffe über dasselbe Einfallstor künftig zu verhindern.

    Unternehmen sehen sich dauerhaft Cyberkriminalität durch Hacker und Angreifer ausgesetzt, die es auf ihre Daten oder ihr Geld abgesehen haben. Ein klassisches Einfallstor sind Emails mit infizierten Anhängen oder Links. Gerade Endbenutzer stehen oft im Visier der Angreifer, da diese tendenziell wenig darin geschult und erfahren sind, Angriffe als solche zu erkennen. Angriffe erfolgen meistens gezielt über sogenanntes Spear Phishing oder werden als groß angelegte Kampagnen in der Breite gefahren, um Lücken in Systemen auszunutzen.

    „Die Bedrohungslage ist hoch bzw. steigt sogar noch an“, so Tobias Messinger, Senior Cyber Defense Consultant beim IT-Sicherheits-Dienstleister SECUINFRA. Speziell aus diesem Grund wurde das SECUINFRA Falcon-Team aufgestellt. „Im Frühjahr 2021 wurden vier schwerwiegende Sicherheitslücken im Microsoft Exchange-Server bekannt. Mit einer Kombination der Schwachstellen war es Angreifern möglich, Dateien auf dem System zu erstellen, zu ändern sowie zu löschen. Hierdurch konnten die Akteure unter anderem einen dauerhaften Zugriff auf dem System erlangen.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte das Problem daher als sehr kritisch ein. „Es ist nur eine Frage der Zeit, bis Angreifer die nächste Lücke aufspüren und ausnutzen“, warnt Messinger.

    Unternehmen müssen diese Angriffe abwehren und sich vor dem Verlust sensibler Daten oder vor Reputationsschäden schützen. Im Falle eines Angriffs sollten Unternehmen daher unter professioneller Hilfe geeignete Gegenmaßnahmen ergreifen. Das Mittel der Wahl stellt dabei Digital Forensics & Incident Response (DFIR) dar. Hierdurch können Angriffe rekonstruiert, die ausgenutzten Schwachstellen in der IT-Infrastruktur identifiziert und anschließend geschlossen werden.

    „Die sogenannten Indicators of Compromise (IOC), also jene Spuren, die ein Angreifer in den Systemen hinterlässt, können durch Methoden der digitalen Forensik entdeckt und verarbeitet werden,“ so Messinger weiter. „Bei einem Vorfall werden die Systeme unternehmensweit nach den identifizierten Spuren einer Kompromittierung gescannt. Das Ziel besteht darin, den Patient-Zero zu identifizieren. Ein weiteres mögliches Ziel ist die Root-Cause-Analysis (RCA).“

    Die Incident Response, ein weiterer Grundpfeiler der Cyber Security, deckt den gesamten Zyklus der Vorfallsuntersuchung und -behebung ab und umfasst Handlungsempfehlungen, die auf den Erkenntnissen der Digital Forensics beruhen: Welche Schritte werden als nächstes unternommen, welche Daten von welchem System sind betroffen, müssen Systeme isoliert, Backups wiederhergestellt oder das System neu installiert werden? Wird schnell und richtig reagiert, kann dies die Schäden einer Attacke eindämmen. Die Incident Response steuert zudem alle Beteiligten des betroffenen Unternehmens und des IT-Dienstleisters. „Das Ziel besteht darin, den Schaden so weit es geht zu reduzieren und die Arbeitsfähigkeit schnellstmöglich wiederherzustellen,“ fasst Leon Hormel, Cyber Defense Consultant im SECUINFRA Falcon Team, zusammen.

    DFIR: Die Tools und die Vorgehensweise

    Für DFIR ist die Vorgehensweise stets fallabhängig: „Da jeder Incident und jede Systemlandschaft anders ist, hängt die anzuwendende Methodik von dem Angriff und der Umgebung ab“, erklärt Messinger. So nutzt bspw. das SECUINFRA Falcon-Team eine Palette von etablierten Tools der digitalen Forensik. Diese kann grob in drei Teile eingeteilt werden: Bei den Endpoint Forensics werden Geräte wie Server, Workstations oder Laptops analysiert, um Angriffsspuren wie Malware, Data Exfiltration oder auffälliges Nutzerverhalten zu entdecken. Network Forensics beinhaltet die Identifikation und Analyse von Angriffsspuren auf Basis des Netzwerkverkehrs. Unter die Malware Forensics fällt schließlich die Analyse von (potenzieller) Schadsoftware zur Identifikation von IOC, die Rekonstruierung des Tathergangs sowie die Bewertung des Schadensausmaßes.

    Die forensische Analyse folgt den sechs Schritten des Investigation Life Cycle: In der Identification-Phase verschaffen sich die Forensiker einen ersten Überblick. Das beinhaltet die Befragung des Auftraggebers und eine Quellensuche. Phase zwei des Investigation Life Cycle ist die Preservation-Phase die sicherstellt, dass Beweise, die in den späteren Phasen aufgenommen und analysiert werden, eine nachvollziehbare und nicht manipulierbare Beweismittelkette bilden. So kann der Angriff genau nachverfolgt werden. „Die chronologische Dokumentation von Beweismitteln ist wichtig, um Versicherungsleistungen in Anspruch nehmen sowie Schadensersatzforderungen begegnen oder Strafverfolgung einleiten zu können“, fügt Messinger hinzu. In der Collection-Phase werden Beweise gesammelt – dabei kann es sich zum Beispiel um Hardware wie Laptops, Telefone und Festplatten, aber auch um Dateien wie Downloads, Logdaten oder Mitschnitte des Netzwerkverkehrs handeln. Um daraus Schlussfolgerungen zu ziehen, werden gesammelte Beweismittel in der Analyse-Phase systematisch durchforstet und bewertet. Die eigentlich fünfte Phase, die Documentation, ist ein kontinuierlicher Prozess während des gesamten Digital Forensics Einsatzes. Sie stellt die Nachvollziehbarkeit sicher – von der Aufnahme des Falls bis hin zur Rekonstruktion des Angriffs. Die finale Phase des Einsatzes ist die Presentation-Phase: Dabei wird der Angriff möglichst genau rekonstruiert. Bei Bedarf werden in dieser Phase Verbesserungsvorschläge zur Stärkung der Cyber Resilience unterbreitet. „Die einzelnen Phasen können mehrfach durchlaufen werden, um Hypothesen zu bestätigen oder zu widerlegen“, erklärt Hormel.

    Die Analyse umfasst in der Regel drei Tage. Im Worst Case müssen die Systeme neu aufgebaut werden; es kann jedoch auch ausreichen, Updates und Patches auszuführen, Passwörter zu ändern, das Rollenkonzept zu überarbeiten oder Schutzmaßnahmen wie Firewalls und EDR-Tools (endpoint detection and response) einzusetzen.

    Die Analysten wissen bei der Übernahme des Falls in der Regel aus Erfahrung, worum es geht. Zwar ist jeder Fall anders, aber oft liefern Muster Anhaltspunkte. Wichtig ist, dass die Incident Response schnell eingeleitet wird: „Da Artefakte teilweise volatil sind, wird die Aufarbeitung um so schwieriger, je weiter ein Angriff in der Vergangenheit liegt,“ sagt Hormel. Nicht immer ist ein Angriff sofort als solcher zu erkennen. Gerade der Abfluss von Daten wird oft erst spät bemerkt.

    DFIR braucht Flexibilität und Expertise

    Von Angriffen sind Unternehmen aller Größen und Branchen betroffen. Zwar ist es möglich, ein kompromittiertes System auf eigene Faust zu bereinigen. Jedoch wird dabei nicht aufgeklärt, wie der Angriff zustande kam; der Angriffsvektor kann so nicht geschlossen werden. Auch lateral movement kann übersehen werden, wenn sich der Angreifer unerkannt in benachbarte Systeme eingenistet hat und darüber eine Persistenz für künftige Angriffe schafft. Der Aufbau eines eigenen unternehmensinternen Incident-Response-Teams ist allerdings zeit- und ressourcenintensiv, weshalb Unternehmen spezialisierte Partner zur Verfügung stehen.

    Messinger fasst zusammen: „Ein DFIR-Team braucht Flexibilität: Attacken ereignen sich oft in den Nachtstunden außerhalb regulärer Arbeitszeiten. Gerade dann ist es wichtig, schnell unterstützen zu können.“ Cyber-Defense-Experten benötigen zudem analytische Fähigkeiten sowie ein breites IT-Security und IT-Wissen. Sie müssen am Ball bleiben. Eine Herausforderung besteht zudem darin, das große Ganze im Blick zu behalten und sich nicht in Details zu verzetteln. Wichtig ist auf Unternehmensseite eine offene Kommunikation: DFIR benötigt Vertrauen auf beiden Seiten.

    Fazit

    DFIR erlaubt es, Cyberangriffe und IT-Sicherheitsvorfälle zeitnah und vollständig aufzuklären. Ein DFIR-Team identifiziert, analysiert und dokumentiert die digitalen Artefakte, unterstützt bei der Incident Response und gibt Empfehlungen, um die Cyber Resilience zu verbessern. Das Unternehmen gewinnt Klarheit über das Ausmaß des Schadens und kann Gegenmaßnahmen ergreifen.

    Autorin: Nadja Müller, IT-Journalistin für Wordfinder

    SECUINFRA ist Experte und Partner für Cyber Defense und hat sich auf Detektion, Analyse sowie Abwehr von Cyber-Angriffen spezialisiert. Kernkompetenzen bilden dabei der Aufbau und Betrieb von Security Operation Centern (SOC) und Cyber Defense Centern (CDC).

    Bei der Erkennung von Cyber-Angriffen setzt SECUINFRA vor allem auf Security Information & Event Management (SIEM) mit dem es möglich ist, sicherheitsrelevante Events aus verschiedensten Quellen zusammenzuführen, um diese automatisiert und nahezu in Echtzeit zu analysieren. Zudem setzt SECUINFRA erfolgreich Methoden zu Digital Forensics und Incident Response (DFIR) ein und erhöht mit Compromise Assessments die Cyber Resilience seiner Kunden.

    Firmenkontakt
    SECUINFRA GmbH
    Thomas Bode
    Invalidenstraße 34
    10115 Berlin
    +49 30 5557021 11
    sales@secuinfra.com
    https://www.secuinfra.com/de/

    Pressekontakt
    Wordfinder GmbH & Co. KG
    Patrick Schulze
    Lornsenstraße 128-130
    22869 Schenefeld
    +49 40 840 55 92-18
    +49 40 840 55 92-29
    ps@wordfinderpr.com
    https://wordfinderpr.com/

    Bildquelle: @Pixabay

  • Cybercrime zu Corona-Zeiten

    ARAG IT-Experten geben Tipps zum Schutz vor Betrugsmaschen in der Pandemie

    Im Jahr 2020 hat das Bundeskriminalamt (BKA) rund 108.000 Delikte von Cyberkriminalität im engeren Sinne registriert – 7,9 Prozent mehr im Vergleich zum Vorjahr. Damit erreicht die Anzahl der polizeilich bekannten Taten einen neuen Höchststand. Bereits im Jahr 2019 stieg die Anzahl von 87.106 (2018) auf 100.514 Straftaten an. Cyberkriminelle nutzten demnach die Pandemie, um innerhalb kürzester Zeit zahlreiche neue Varianten zu entwickeln, die die Unwissenheit und Sorgen der Mensch ausnutzten. ARAG IT-Experten geben einen Überblick und Tipps, wie man sich schützen kann.

    Neu: Juice Jacking
    Ziemlich neu ist die Variante des „Juice Jackings“. Bei dieser Variante des Cyberangriffs wird direkt das mobile Gerät angegriffen. Und zwar über dessen Stromzufuhr. Schließt man z. B. sein Handy an eine Ladestation an, dann wird die Verbindung zum USB-Port ausgenutzt. Über diese Schnittstelle wird dann nicht nur der Akku aufgeladen, sondern Hacker können auf die Daten des Handys zugreifen. Die ARAG IT-Experten raten daher: Aufpassen beim Aufladen des Handys oder Laptops an öffentlichen Ladestationen. Es ist nie ausgeschlossen, dass unberechtigte Dritte Zugriff auf das mobile Gerät erhalten, sensible Daten einsehen, austauschen, woanders abspeichern oder Malware übertragen.

    Fake-Websites und Fake-Shops
    Um an die Subventionen für die Corona-Soforthilfen zu gelangen, wurden von Cyberkriminellen Fake-Seiten für die Beantragung von Fördergeldern programmiert. Allein bei der Staatsanwaltschaft in Köln gingen für Nordrhein-Westfalen (NRW) von April bis September 2020 mehr als 1.200 Online-Strafanzeigen ein. Andere Bundesländer verzeichneten ähnliche Fallzahlen. Das Landeskriminalamt Nordrhein-Westfalen (LKA NRW) konnte zwar einige Domains identifizieren und sperren, aber aufgrund der Vielzahl mussten die Auszahlungen in einigen Bundesländern kurzzeitig gestoppt werden. Die Online-Anzeigen gegen Unbekannt wurden überwiegend für gefälschte Websites erstattet, die die Menschen über Suchmaschinen in die Irre führten. Wer beispielsweise den Begriff „Soforthilfe NRW“ eingab, kam auf eine Seite, die so aussah wie die des Landes NRW – mit einem täuschend echten Formular für die Beantragung der Fördergelder. Die Kriminellen wollten so an Unternehmensdaten kommen, die sie dann selbst für die Beantragung von Geldern missbrauchen konnten.

    Die ARAG IT-Experten weisen darauf hin, dass auch die Zahl von betrügerischen Fake-Shops mit gefälschten Corona-Waren angestiegen ist. Sie empfehlen vor dem Kauf immer zu einem Check des Verkäufers durch eine Internetrecherche und verweisen auf die Präventionstipps der Polizei.

    Home-Office-Situation
    Viele Unternehmen haben durch COVID-19 die Digitalisierung im Schnelldurchlauf erlebt. Innerhalb kürzester Zeit wurden Arbeitsplätze nach Hause verlagert und das Arbeiten auf „Remote Work“ (Mobiles Arbeiten) oder „Hybrid Work“ (Kombination aus Arbeiten im Office und dem mobilen oder halbmobilen Arbeiten) umgestellt. Auf diese Entwicklung haben Cyberkriminelle sofort reagiert und ihre Angriffe auf die Zielgruppe Unternehmen und ihre Mitarbeiter fokussiert. Gerade die Einführung neuer Tools für das unkomplizierte Arbeiten von zu Hause bot Hackern eine enorme Angriffsfläche, da die Mitarbeiter mit der Nutzungsweise noch nicht ausreichend vertraut waren. Aktuelle Zahlen des Global Security Insights Report 2021 belegen, dass während der Corona-Zeit neun von zehn Cyberangriffen bei Unternehmen stattfanden. So wurden E-Mails versandt, die auf neue Hygieneregeln oder Verhaltensweisen für das Büro hinwiesen und unbedingt befolgt werden müssen oder die über globale Anweisungen bzw. Veränderungen der Corona-Maßnahmen informierten. Egal, welcher Aufhänger genutzt wurde, fast immer wurden die Mitarbeiter zu einem zügigen Handeln aufgefordert, z. B. in Form von Klicken auf einen gefakten Link. Auch Straftaten in Verbindung mit Videokonferenzanwendungen wurden verzeichnet. So verschafften sich Kriminelle Login-Daten durch das automatisierte Stehlen von Nutzer-Passwort-Kombinationen (Credential Stuffing), die sie später im Darknet zum Kauf anboten.

    Die ARAG IT-Experten empfehlen daher auch beim Arbeiten im Home-Office ein gesundes Maß an Aufmerksamkeit. Wenn eine Mail nicht eindeutig zuordnet werden kann, dann bleibt der Anhang besser ungeöffnet. Bei Links hilft es, wenn man diesen nicht blind folgt, sondern die Internetseite der betreffenden Firma oder Bank selbst aufruft. Dabei sollte man darauf achten, dass eine gesicherte Verbindung aufgebaut wird. Zu erkennen ist sie am Präfix „https://“. Egal ob privater oder betrieblicher User: Nach wie vor ist auch die Wahl sicherer Passwörter ein guter Schutz. Ganz wichtig: Auch wenn es mühsam ist, sollte für jeden Account ein eigenes Passwort verwendet werden, was zudem regelmäßig geändert wird. Hier helfen Passwortmanager.

    Corona-Phishing
    Phishing ist nicht neu und gibt es offline bereits seit den frühen 1900er Jahren – und zwar unter dem Namen der „Der spanische Gefangene“. Ein Betrüger erzählt seinem Opfer, dass er mit einem reichen Mann, der in Spanien getarnt inhaftiert ist, Kontakt hat. Seine wahre Identität kann der Gefangene nicht verraten, weil er sich sonst in Gefahr begibt. Er benötigt nun dringend Geld, um sich aus der Gefangenschaft freizukaufen. Wer ihn dabei unterstützt, wird danach reich belohnt. Ist die erste Geldzahlung erfolgt, gibt es leider immer wieder neue Probleme, für deren Lösung wiederum Geld nötig ist. Das Spielchen geht so lange, bis das Opfer keines mehr zur Verfügung hat. Das Prinzip des „modernen“ Phishings ist gleich geblieben, nur haben sich die Kanäle geändert.

    So wurden seit Beginn der Pandemie zahlreiche Phishing-Mails versendet, die stark das Bedürfnis der Menschen nach Schutz und Sicherheit ansprechen und zu schnellen Handlungen auffordern. Beispielsweise verschickten Betrüger unter dem Deckmantel der Investitionsbanken oder Förderbanken Phishing-E-Mails an mögliche Empfänger von Fördergeldern. Um Glaubwürdigkeit zu suggerieren, wurden bekannte Absendernamen wie „corona-zuschuss@ibb.de“ genutzt und beim Anklicken der Links in der E-Mail direkt auf die Website der jeweiligen Förderbank geleitet. Mit vorgetäuschter Authentizität, psychologischer Taktik und bedrohlichen Formulierungen wie „Rückforderung vom Finanzamt“ verschafften sich die Gauner so Zugang zu sensiblen Unternehmensdaten. In manchen Fällen ließen sie sich die angeblichen Rückforderungen auf ein von ihnen genanntes Konto überweisen.

    Weitere interessante Informationen unter:
    https://www.arag.de/service/infos-und-news/rechtstipps-und-gerichtsurteile/internet-und-computer/

    Die ARAG ist das größte Familienunternehmen in der deutschen Assekuranz und versteht sich als vielseitiger Qualitätsversicherer. Neben ihrem Schwerpunkt im Rechtsschutzgeschäft bietet sie ihren Kunden in Deutschland auch eigene einzigartige, bedarfsorientierte Produkte und Services in den Bereichen Komposit und Gesundheit. Aktiv in insgesamt 19 Ländern – inklusive den USA, Kanada und Australien – nimmt die ARAG zudem über ihre internationalen Niederlassungen, Gesellschaften und Beteiligungen in vielen internationalen Märkten mit ihren Rechtsschutzversicherungen und Rechtsdienstleistungen eine führende Position ein. Mit mehr als 4.400 Mitarbeitern erwirtschaftet der Konzern ein Umsatz- und Beitragsvolumen von rund 1,9 Milliarden EUR.

    ARAG SE ARAG Platz 1 40472 Düsseldorf Aufsichtsratsvorsitzender Dr. Dr. h. c. Paul-Otto Faßbender
    Vorstand Dr. Renko Dirksen (Sprecher), Dr. Matthias Maslaton, Wolfgang Mathmann, Hanno Petersen, Dr. Joerg Schwarze, Dr. Werenfried Wendler

    Sitz und Registergericht Düsseldorf HRB 66846 USt-ID-Nr.: DE 119 355 995

    Firmenkontakt
    ARAG SE
    Jennifer Kallweit
    ARAG Platz 1
    40472 Düsseldorf
    +49 211 963-3115
    Jennifer.Kallweit@ARAG.de
    http://www.ARAG.de

    Pressekontakt
    Klaarkiming Kommunikation
    Claudia Wenski
    Steinberg 4
    24229 Dänischenhagen
    +49 4349 – 22 80 26
    cw@klaarkiming-kommunikation.de
    http://www.ARAG.de

  • Informationen nach dem Cyberangriff auf die PEARL. GmbH

    Informationen nach dem Cyberangriff auf die PEARL. GmbH

    Gute Neuigkeiten: Der Onlineshop von PEARL www.pearl.de und alle weiteren Systeme funktionieren nach 3 Tagen seit dem 08.06.2021 wieder reibungslos.

    Ab sofort stehen unseren Kundinnen und Kunden alle Internetseiten und Services wieder wie gewohnt zur Verfügung. Auch in unserem Pearl Factory-Outlet kann wieder mit Giro- und Kreditkarte bezahlt werden.

    Unsere IT-Systeme wurden von externen IT-Security-Experten und unseren hauseigenen EDV-Spezialisten gründlich geprüft und wieder online geschaltet. Sicherheit für Kundendaten steht für uns an oberster Stelle und geht vor Schnelligkeit, weshalb wir eingehende forensische Prüfungen unserer Systeme vorgenommen haben, bevor diese wieder online geschaltet wurden.

    Bei dem Cyberangriff auf die PEARL. GmbH wurden keine Kundendatenkompromittiert. Die Hacker hatten ausschließlich virtuelle Serversysteme angegriffen.

    Da wir unseren Kunden ein Höchstmaß an Sicherheit bieten möchten, wurden alle Systeme sofort nach Erkennung des Angriffsheruntergefahren – auch der Pearl-Onlineshop.

    Mittlerweile laufen alle Systeme und unsere Versandzentren wieder auf Hochtouren und unsere Mitarbeiterinnen und Mitarbeiter werden alle Bestellungen schnellstmöglich bearbeiten und an die Paketdienstleister übergeben.

    Für eventuell längere Wartezeiten möchten wir uns entschuldigen.

    Die PEARL. GmbH aus Baden-Württemberg ist das umsatzstärkste Unternehmen eines internationalen Technologie-Konzerns. Ihr Schwerpunkt ist der Distanzhandel von Hightech- und Lifestyle-Produkten. In Deutschland werden rund 400 Mitarbeiter*innen beschäftigt, darunter etwa 20 Auszubildende in unterschiedlichen Ausbildungsberufen.

    Mit ca. 20 Millionen Kundinnen und Kunden, über 10 Millionen gedruckten Katalogen pro Jahr, einer täglichen Versandkapazität von über 110.000 Paketen – alleine in Deutschland – und Versandhaus-Niederlassungen in Österreich, der Schweiz, Frankreich und Polen gehört PEARL zu den größten Versandhäusern für Neuheiten aus dem Technologie-Bereich. Große Versandlager und Spezial-Versandzentren in Baden-Württemberg, Niedersachsen und Hessen ermöglichen eine sehr schnelle Belieferung der Kunden. Über 100.000 Europaletten Lagerkapazität in sechs Logistikzentren gewährleisten höchstmögliche Warenverfügbarkeit.

    Ladengeschäfte in vielen europäischen Großstädten und das Teleshopping-Unternehmen Pearl.tv mit großer Reichweite in Europa unterstreichen diesen Anspruch.

    In Deutschland umfasst das Sortiment von PEARL ca. 16.000 Produkte mit über 100 bekannte Marken wie z.B. auvisio, Rosenstein & Söhne, Luminea, Sichler Haushaltsgeräte, simvalley MOBILE oder ELESION. Darunter zahlreiche Produkte aus den Bereichen Smart Home, Haushalt, Unterhaltungselektronik, Wellness, Lifestyle, Werkzeuge, PKW- und Handyzubehör sowie Hobby- Freizeit- und Funprodukte.
    Dank ihrer äußerst engen Kooperation mit internationalen Großherstellern und Entwicklungsfirmen hat die PEARL.GmbH einen starken Einfluss auf die Neuentwicklung und kontinuierliche Optimierung von Produkten ( www.pearl.de).

    Kontakt
    PEARL. GmbH
    Heiko Loy
    PEARL-Straße 1-3
    79426 Buggingen
    07631-360-417
    presse@pearl.de
    http://www.pearl.de

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.

  • Proaktives Threat Hunting gegen Cyberangriffe – mit den Managed Services von Controlware

    Dietzenbach, 08. Juni 2021 – Ob Computer-Sabotage oder Malware: Unternehmen jeder Branche und Größe müssen damit rechnen, Opfer eines Cyberangriffs zu werden. Proaktives Threat Hunting sorgt dafür, dass Cyberkriminelle schneller aufgespürt werden. Die passende Lösung bieten die Managed Services von Controlware.

    Fast täglich berichten Medien über neue IT-Sicherheitsvorfälle in Unternehmen – von der Spionage bis zum Datendiebstahl. Firmen sollten sich daher mit dem Gedanken vertraut machen, selbst Opfer einer Cyberattacke zu werden – oder bereits zu sein. Benjamin Heyder, Cyber Defense-Experte bei Controlware verdeutlicht: „Je eher erkannt wird, dass ein Cyberangriff auf das Unternehmensnetzwerk stattgefunden hat, desto eher können größere Schäden verhindert werden.“ Entscheidend ist in diesem Zusammenhang die Dwell Time: die Zeitspanne zwischen dem Beginn eines Angriffs bis zu seiner Erkennung. Nach Angaben des Berichts „M-Trends 2020“ von FireEye lag sie weltweit bei durchschnittlich 56 Tagen. „Automatisierte Erkennung muss durch weitere, proaktive Ansätze ergänzt werden, um diesen Wert zu senken“, so Benjamin Heyder.

    Einer dieser Ansätze ist proaktives Threat Hunting: Mithilfe dieser Methode lassen sich Angreifer identifizieren, die bereits im Netz unterwegs sind und nicht von vorhandenen Detektionsmechanismen erkannt wurden. In den Fokus genommen werden dabei spezifische Taktiken und Vorgehensweisen von Angreifern, die sogenannten TTPs (Tools, Techniques, Procedures). Nicht einzelne Merkmale, sondern eine Kombination aus verschiedenen Indikatoren ist hier der Schlüssel, um die Auffälligkeiten zu erkennen, erläutert Benjamin Heyder. „Die besondere Herausforderung besteht darin, dass diese Informationen an verschiedenen Orten erzeugt und sichtbar werden.“

    Telemetriedaten als Basis für spätere Analysen
    Um einen Threat Hunting-Plan zu entwickeln, ist laut Benjamin Heyder ein tiefes Verständnis der wichtigen Angreifer-TTPs unverzichtbar. Dabei hilft das MITRE ATT&CK Framework: Die Wissensdatenbank aktueller „Real-world“-Angreifertechniken und -taktiken dient der Entwicklung von Threat Hunting-Plänen und -Hypothesen. Unterstützt wird Threat Hunting außerdem von verschiedenen Technologiebausteinen in der Sicherheitsarchitektur. Dazu gehört Endpoint Detection and Response (EDR) – eine Technologie, die Endpunkte dauerhaft auf cyberkriminelles Verhalten überwacht. Neben Schutzfunktionen – zum Beispiel der Isolation eines infizierten Clients vom Netzwerk oder der Abschaltung verdächtiger Prozesse – gibt es zudem immer mehr Lösungen, die Telemetriedaten wie Netzwerkzugriffe als Basis für spätere Analysen kontinuierlich speichern.

    Auch Cross-Layered Detection and Response (XDR)-Technologien können die Dwell Time verkürzen: XDR erweitert die Sichtbarkeit über einzelne Schichten wie Endpunkt und Netzwerk hinweg, indem es wichtige Metadaten wie E-Mails oder Cloud Workloads erfasst und korreliert. Dank automatischer Analysen dieser Daten werden Cyberbedrohungen früher entdeckt und abgewendet. „EDR und XDR sind neben SIEM-Systemen Technologiebausteine, die Threat Hunting effektiv unterstützen“, erklärt Benjamin Heyder, „aber letztlich ist es der Mensch, der Threat Hunting ausführt und weiterentwickelt.“

    Cyber Defense-Technologien und Expertenwissen verzahnen
    Wichtig für ein erfolgreiches Threat Hunting ist also das Zusammenspiel von technischen Lösungen und Expertenwissen. Anbieter wie der Systemintegrator und Managed Service Provider Controlware stehen Unternehmen dabei zur Seite – von der Beratung über die Umsetzung bis zum Betrieb der Threat Hunting-Lösung. Das Controlware Portfolio umfasst unter anderem individuelle Cyber Defense Services mit EDR- und XDR-Lösungen inklusive Threat Hunting als Managed Services. Benjamin Heyder: „Unsere Experten verfügen nicht nur über das technische Know-how, sondern profitieren auch von langjährigen Erfahrungen in unterschiedlichen Branchen. So können sie passgenau auf individuelle Kundenbedürfnisse eingehen.“

    Über Controlware GmbH

    Die Controlware GmbH, Dietzenbach, ist einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Collaboration, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das rund 840 Mitarbeiter starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Unternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die productware GmbH.

    Firmenkontakt
    Controlware GmbH
    Stefanie Zender
    Waldstraße 92
    63128 Dietzenbach
    +49 6074 858-246
    stefanie.zender@controlware.de
    https://www.controlware.de/

    Pressekontakt
    fischerAppelt, relations GmbH
    Robert Schwarzenböck
    Otl-Aicher-Straße 64
    80807 München
    +49-89-747466-23
    controlware@fischerappelt.de
    http://www.fischerappelt.de