Schlagwort: Sicherheitslücke

Log4j-Sicherheitslücke – Lösungsansätze von Trustwave Security-Experten

Media Alert

Aktuell kursiert eine neue Sicherheitslücke in dem Java-basierten Protokollierungsprogramm Log4j. Log4j wird als Open Source Software von vielen Unternehmen eingesetzt. Durch die nun aufgedeckte Schwachstelle sind daher viele Systeme einem hohen Risiko ausgesetzt, gehackt zu werden. Betroffen sind Unternehmen, die Log4j-Versionen zwischen 2.0 und 2.14.1 nutzen.

Im neuen Trustwave-Blog beschreiben die Security-Experten, wie Unternehmen ihr System vor Cyberangriffen im Zuge der Log4j-Schwachstelle schützen können und welche Schritte dafür notwendig sind: https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/trustwaves-action-response-log4j-zero-day-vulnerability-cve-2021-44228/.

Wegen Zero-Day-Exploits wie diesem sind Maßnahmen wichtig, die Schwachstellen in Systemen aufdecken und somit Sicherheitslücken so gering wie möglich halten. Eine kontinuierliche Überwachung des Netzwerks ist unvermeidbar, um mögliche Angreifer abwehren zu können. Insbesondere in Zeiten von vermehrten Zero-Day-Schwachstellen wird ein regelmäßiges Update der firmeninternen Cybersecurity wichtiger denn je.

Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.

Firmenkontakt
Trustwave Germany GmbH
Stephen Balogun
The Squaire 12
60549 Frankfurt am Main
+447710 712 125
Stephen.Balogun@trustwave.com
https://www.trustwave.com/de-de/

Pressekontakt
Sprengel & Partner GmbH
Samira Liebscher
Nisterstrasse 3
56472 Nisterau
+49 2661-912600
trustwave@sprengel-pr.com
https://www.sprengel-pr.com

Die Bildrechte liegen bei dem Verfasser der Mitteilung.

15. Dezember 2021
Hackerangriffe zu Weinachten nehmen zu!

Die Hackerangriffe zu Weinachten werden dieses Jahr weiter zunehmen, davon ist sicherheitsexperte und Ethical Hacker Ralf Schmitz überzeugt.

Nach der Cyber-Attacke auf die MediaMarktSaturn Retail Group wird das Gefahrenpotential von Cyberkriminalität deutlich. Am Montag wurden die Landesgesellschaften des Unternehmens mit über 3000 Rechnern lahmgelegt. Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden.
Aber auch Aktienplattformen wie Robinhood werden angegriffen. Hackerangriffe zu Weinachten nehmen zu!
Alle sind Opfer von Hackern, die Lösegeld erpressen wollen. Ein Ende der Welle ist nicht in Sicht weiß Hacker Ralf Schmitz zu berichten.
Im Darknet kursieren Listen von geklauten Kundendaten teils sogar mit Kreditkartennummern und Pin. Daraus lassen sich gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzugreifen, sollten diese noch nicht komplett sein.
Daten in wenigen Minuten geklaut
Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier und drohen oft damit, auch die Daten von unbeteiligten Kunden zu veröffentlichen.
Aber auch in der Medizin und in Krankhäusern machen Hacker keinen halt. Auch der IT-Dienstleister Medatixx, der jede vierte Arztpraxis in Deutschland mit Software beliefert, meldete einen Angriff.
Die Angriffe zeigen die Verwundbarkeit von Unternehmen, die für die Versorgung von Privathaushalten wichtig sind. Fehlender Cyberschutz zerstört nicht nur die Geschäftsgrundlage des Einzelhandels, sondern auch Vertrauen, Renommee und Konsumlaune.

Der Cyberangriff auf die Media / Saturn Märkte sorgte unter anderem dafür, dass in den Geschäften keine Kaufbelege ausgestellt und Käufe ausschließlich mit Bargeld vorgenommen werden konnten. Angesichts des bevorstehenden Black-Fridays und des umsatzstarken Weihnachtsgeschäfts kann dies dramatische Umsatzeinbußen bedeuten.
Die Cyberschäden sind bereits sehr hoch!

Die Angriffe sorgt für mehr als 220 Milliarden Euro Schaden pro Jahr, weiß der Sicherheitsexperte Ralf Schmitz zu berichten, den er hält viele Sicherheitsvorträge im Jahr in Deutschland.
Er ist immer wieder erstaunt wie wenig die Kunden oder Privatleute Ihre Handys , Tablet, Pc´s richtig schützen.
Manchmal fehlt das wissen, manchmal ist es einfach Bequemlichkeit des User, der offenen seine Passwörter im Browsercache liegen hat oder der noch immer ein nur 6 stelliges Passwort benutzt.
Man muß die Bevölkerung viel mehr aufklären und das vor der Weihnachtszeit , den er zeigt live in seinen Hacker-Vorträge wie man in 5 Minuten auf einem anderen Rechner ist oder wie man Passwörter auslesen kann.
Er gibt aber auch viele Sicherheitstipps an die Hand wie man sich gut schützen kann vor den Kriminellen.
Bedrohung der Sicherheit im Netz
Angriffe auf den Einzelhandel gefährdet nicht nur die vorweihnachtliche Geschenkeversorgung, sondern verursacht immensen wirtschaftlichen Schaden. Handelsketten und Verkaufsstellen müssen ihre komplexen Systeme professioneller schützen und Kunden mehr aufklären.
Ein Ende der Welle ist erst mal nicht in Sicht.

Verantwortlicher für diese Pressemitteilung:

Bundespressestelle Sicher-Stark
Frau Nicole Koch
Hofpfad 11
53879 Euskirchen
Deutschland

fon ..: 018055501333
web ..: http://www.sicher-stark.de
email : presse@sicher-stark.de

Die Pressemeldung darf kostenlos und lizenfrei veroeffentlicht werden.

Pressekontakt:

Bundespresssestelle Sicher-Stark
Herr Nicole Koch
Hofpfad 11
53879 Euskirchen

fon ..: 018055501333
web ..: http://www.sicher-stark.de
email : presse@sicher-stark.de

23. November 2021
Beyond Identity schließt Sicherheitslücke in der Software-Lieferkette

Gesamter Quellcode wird automatisch mit einer validierten und an ein bestimmtes Gerät gebundene Unternehmensidentität signiert

Beyond Identity, der Anbieter von passwortlosen MFA-Lösungen, schließt mit seinem neuen Produkt Secure DevOps eine kritische Sicherheitslücke und schützt die Software-Lieferkette vor Insider-Bedrohungen und kriminellen Angriffen.

Secure DevOps bietet eine einfache, sichere und automatisierte Möglichkeit, um zu bestätigen, dass der gesamte Quellcode, der in ein Unternehmens-Repository gelangt und von der Continuous Integration/Continuous Deployment (CI/CD)-Pipeline verarbeitet wird, mit einem Schlüssel signiert ist. Dieser ist kryptografisch an eine Unternehmensidentität und ein Gerät gebunden und gewährleistet somit Vertrauen, Integrität und Nachvollziehbarkeit für jeden Quellcode, der in das Software-Endprodukt eingebaut wird.

Von SolarWinds bis Kaseya – die Anfälligkeit der Software-Lieferkette und das Schadenspotenzial waren nie größer als heute. Mit der Verlagerung der Softwareentwicklung in die Cloud wurde die Build-Umgebung zu einem attraktiven Ziel für kriminelle Akteure, die eine tiefgreifende und umfassende Kompromittierung von Unternehmen anstreben.
Die Geschwindigkeit und die hoch agilen Prozesse in der Softwareentwicklung verhindern meist jedoch strengere Sicherheitskontrollen. Heute ist es praktisch unmöglich, die Herkunft des Quellcodes nachzuvollziehen, da die Entwickler den Quellcode, der in den Repositories des Unternehmens gespeichert ist, häufig nicht signieren – und diejenigen, die dies tun, in der Regel Schlüssel verwenden, die an eine persönliche Identität und nicht an eine validierte Unternehmensidentität gebunden sind.
Derzeit erfolgt das Signieren von Quellcodes in hohem Maße manuell und erfordert eine zentralisierte Schlüsselverwaltung. Dabei kommt es jedoch zu einer deutlichen Ausweitung der Schlüsselanzahl und dazu, dass Schlüssel nicht vertrauenswürdig sind, da sie von einem Gerät auf ein anderes übertragen werden können. Das Signieren von Binärdateien, die die CI/CD-Pipeline verlassen, ist zwar gängige Praxis, stellt aber nur sicher, dass der Produktionscode vom Unternehmen erstellt wurde und macht den früheren Teil des Prozesses anfällig für böswillige Entwickler oder Angreifer.

„Die agile Softwareentwicklung hat das Innovationstempo beschleunigt und die Rahmenbedingungen für viele Unternehmen verändert“, sagt Johnathan Hunt, Vice President of Security bei GitLab. „Wir sind davon überzeugt, dass Entwickler durch den Einsatz einer einzigen DevOps-Plattform wie GitLab, die Sicherheit in jede Phase des DevOps-Lebenszyklus einbinden, regressive Nacharbeiten reduzieren und Schwachstellen minimieren können. Wir schätzen den Wert, den Beyond Identity für die weitere Stärkung der Sicherheit von Quellcode-Commits und den Schutz vor bösartiger Code-Injektion bietet.“

Die neuartige Lösung von Beyond Identity stellt sicher, dass die Signierschlüssel für den Quellcode vertrauenswürdig sind, indem sie explizit an eine Unternehmensidentität und ein bestimmtes Gerät gebunden werden. Mit einer einfachen, einmaligen Einrichtung für Ingenieure und DevSecOps-Teams erstellt die Lösung unveränderliche GPG-Schlüssel, die an die Systeme der Mitarbeiter gebunden und in Hardware-Enklaven gesichert sind. Das ermöglicht auch eine bessere zentrale Kontrolle und den Widerruf von Schlüsseln. Die Folge ist eine lückenlose Nachverfolgung der Herkunft des Quellcodes zur Qualitätssicherung und forensischen Prüfung.

„Als Cloud-basiertes Unternehmen war der Authentifizierungsansatz von Beyond Identity für uns ein absolutes Muss“, so Mario Duarte, Vice President of Security bei Snowflake. „Beim Betrachten der innovativen Architektur, erkannten wir die unmittelbare Anwendbarkeit und den enormen Nutzen, insbesondere in Bezug auf die Signierung von Quellcode und GitHub. Es war eine perfekte Gelegenheit, um mit Beyond Identity ein Produkt zu entwickeln, das genau auf diese Sicherheitsbedenken zugeschnitten ist.“

„Es ist zwar einfacher, mit dem Signieren des Codes bis nach dem Build zu warten, aber es ist, als würde man einen Vertrag unterschreiben, ohne das Kleingedruckte zu lesen“, sagt TJ Jermoluk, CEO von Beyond Identity. Ähnlich wie bei einem Vertrag stecke der Teufel im Detail zwischen mehreren Entwicklern und einer Vielzahl von Quellcodeübertragungen. „Wie wir in letzter Zeit gesehen haben, können sich bösartige Injektionen jahrelang der Entdeckung entziehen und mehrere Unternehmen gefährden – unabhängig von der Wirksamkeit ihrer organisatorischen Sicherheitsvorkehrungen. Mit Secure Work nehmen wir den Nutzern nicht nur das Risiko und die Last von Passwörtern und Signierschlüsseln aus den Händen, sondern verbessern auch den Zugang und die Produktivität erheblich.“

Mehr Informationen über Secure DevOps von Beyond Identity erfahren Sie hier.

Beyond Identity bietet die sicherste Authentifizierungsplattform der Welt. Beyond Identity überwindet die Barrieren zwischen Cybersicherheit, Identitäts- und Gerätemanagement und verändert grundlegend die Methode, wie Nutzer sich anmelden – es eliminiert Passwörter und bietet Anwendern ein reibungsloses Multi-Faktor-Login-Erlebnis. Über die Passwortfreiheit hinaus bietet das Unternehmen den Zero-Trust-Zugang für die Absicherung hybrider Arbeitsumgebungen, in denen eine strenge Kontrolle darüber, welche Benutzer und welche Geräte auf kritische Cloud-Ressourcen zugreifen, unerlässlich ist. Das Unternehmen wurde von Jim Clark und TJ Jermoluk gegründet, die das kommerzielle Internet mit Netscape und @Home Networks mitbegründet haben. Das dynamische Duo stellte ein All-Star-Team zusammen und schuf die weltweit fortschrittlichste passwortlose Identitätsplattform in einer Zeit, in der sich die digitale Transformation auf jedes Unternehmen auswirkt und Cyberattacken zu einem Top-Risiko geworden sind. Das Unternehmen erhielt 105 Millionen Dollar von den führenden Investoren Koch Disruptive Technologies (KDT) und New Enterprise Associates (NEA). Beyond Identity hat seinen Hauptsitz in New York City und Niederlassungen in Boston, Dallas, Miami und London.

Firmenkontakt
Beyond Identity
Helmut Weissenbach
Landsbergerstr. 155
80687 München
+49 89 54 55 82 01
helmut@weissenbach-pr.de
http://www.weissenbach-pr.de

Pressekontakt
Helmut Weissenbach Public Relations GmbH
Helmut Weissenbach
Landsbergerstr. 155
80687 München
+49 89 54 55 82 01
helmut@weissenbach-pr.de
http://www.weissenbach-pr.de

22. September 2021
Brave New Arbeitswelt

ARAG IT-Experten zum Schutz vor Angriffen im (Home-)Office

Die Pandemie hat auch die Arbeitswelt verändert. Bei vielen Unternehmen zeichnet sich ab, dass nach Corona mobiles Arbeiten beibehalten oder eine Mischung aus Präsenz und Home-Office eingeführt wird. Durch das langfristig vermehrte Arbeiten von zu Hause ist aber davon auszugehen, dass sich Kriminelle immer wieder neuer Taktiken bedienen und sich Maschen für Cyberangriffe einfallen lassen. ARAG IT-Experten geben daher Tipps, wie man sich vor diesen Angriffen nicht nur zu Hause, sondern auch am Arbeitsplatz schützen kann.

(Heim)-Arbeitsplatz
Grundsätzlich sollte man, egal ob im Büro oder zu Hause, seinen Arbeitsplatz immer vor einem unbefugten Zugriff schützen. Verlässt man den Arbeitsplatz, sperrt man den Bildschirm am besten mit der Tastenkombination Windows(-Taste) + L. Mit sensiblen Informationen wie vertraulichen Dokumenten oder Passwörtern gilt es gewissenhaft umzugehen. Sie sollten sicher vor Dritten aufbewahrt werden. Nicht mehr benötigte Dokumente sollten zu Hause oder bei der Arbeit entsorgt werden. Absolutes Muss: Ein sicheres Passwort.

Heimnetz
Da IT-Experten fast täglich neue Schwachstellen finden, empfiehlt es sich, Heimnetzgeräte wie z. B. Router, Repeater und „Smart-Devices“ mit den vom Hersteller bereitgestellten Firmware-Updates aktuell zu halten. Der Standard WLAN-Schlüssel des Routers sollte geändert werden und aus mindestens 20 Zeichen bestehen. Um einen unautorisierten Zugriff zu vermeiden, raten die ARAG IT-Experten, das Passwort des Routers ebenfalls nach der Passwortrichtlinie neu festzulegen. Ferner weisen sie darauf hin, dass die Sicherheit ebenfalls erhöht wird, wenn die Geräte in einem sicheren abgeschotteten Netzwerk betrieben werden. Damit auch Gäste das Netzwerk bedenkenlos mitnutzen können, kann auf dem Router ein Gastzugang eingerichtet werden. Der heimische Router sollte darüber hinaus einen Verbindungsaufbau von unautorisierten Geräten nicht automatisiert erlauben. Denn mit dem Wi-Fi Protected Setup (WPS) werden schnell drahtlose Netzwerkverbindung zwischen zwei Geräten hergestellt – z. B. kann per Knopfdruck das Smartphone an einem WLAN-Router angemeldet werden. Damit keine potenziellen Eindringlinge unbemerkt eine Verbindung mit dem Heimnetzwerk herstellen, sollte man das WPS am besten ausschalten.

Smartphone
Für erkannte Sicherheitslücken beim Smartphone gibt es regelmäßig Updates vom Anbieter. Wird eines angeboten, sollte die Durchführung zeitnah nach der Veröffentlichung erfolgen. Nicht vertrauenswürdige App-Quellen und damit womöglich Schadsoftware lassen sich vermeiden, wenn keine Apps außerhalb des vorgesehenen App Stores installiert werden. In den „Einstellungen“ unter „Datenschutz“ können die App-Berechtigungen, wie z. B. der Zugriff auf die Kamera, verwaltet werden. Nicht notwendige Berechtigungen werden am besten direkt deaktiviert. Damit essenzielle Schutzfunktionen nicht ebenfalls deaktiviert werden, sollte kein nicht-autorisiertes Entfernen von Nutzungsbeschränkungen mittels Jailbreak (iOS) oder Root (Android) durchgeführt werden. Denn durch das Jailbreaken oder Rooten eines Smartphones erhält man nach Auskunft der ARAG IT-Experten höhere Rechte zu tiefgreifenden Modifikationen und es erlischt die Gewährleistung des Gerätes.

E-Mail
Verdächtige E-Mails, sogenannte Phishing-Mails, kann man am besten erkennen, wenn man sie auf bestimmte Merkmale wie z. B. Absender, Betreff, drängender Inhalt, unsaubere Formatierung und Rechtschreibfehler überprüft. Auch kann man verschiedene Sicherheitseinstellungen vornehmen, damit eigene Aktivitäten nicht von Dritten zu Werbezwecken genutzt werden. Die ARAG Experten raten, die Verknüpfung von E-Mail-Inhalten zu Webseiten durch die Deaktivierung der HTML-Funktion (Hypertext Markup Language) zu verhindern und sich dadurch nur die einfache Textnachricht anzeigen zu lassen.

Internet
Zur Erhöhung der Kontensicherheit im Internet bieten verschiedene Unternehmen eine Multi-Faktor-Authentifizierung (MFA) an, welche verwendet werden kann, um sich vor Angriffen zu schützen. Die MFA ist ein Authentifizierungsverfahren, bei dem der User zwei oder mehr Identitätsnachweise zur Verifizierung liefern muss, bevor er Zugriff auf die gewünschte Ressource erlangt, z. B. auf ein Benutzerkonto oder ein VPN. Viele Webseiten verwenden Tracker, um Informationen über das Surfverhalten der Besucher zu sammeln und darauf basierend personalisierte Werbungen anzuzeigen oder Verbesserungen vorzunehmen. Das Tracking kann in den meisten Browsern teilweise bis vollständig unter „Einstellungen“, „Datenschutz & Sicherheit“ blockiert werden. Verifizierte Webseiten erkennt man anhand eines Schlosssymbols in der Statusleiste des Browsers oder wenn die Adresszeile mit „https“ beginnt. Zudem sollte auf die korrekte Schreibweise der URL geachtet werden (z. B. google.com statt googl0ft.biz). Die ARAG IT-Experten empfehlen, dass nur notwendigen Webseiten eine Berechtigung erteilt wird. So benötigt beispielsweise eine Website für das Lesen eines Artikels nicht den Standort. Diese Berechtigungen finden sich in der Regel in den „Einstellungen“ unter „Datenschutz & Sicherheit“. Browser-Erweiterungen, sogenannte Add-ons, haben Zugriff auf beinahe alle Aktivitäten innerhalb des Browsers. Unnötige Add-ons können und sollten daher deinstalliert werden.

Private Rechner
Updates zu ignorieren könnte auch beim eigenen privaten Rechner fatal sein. Es empfiehlt sich auch hier eine zeitnahe Installation, um allgemein erkannte Sicherheitslücken zu schließen. Mit einer mit einem Passwort verschlüsselten Festplatte haben es Angreifer schwerer auf die Daten zuzugreifen. Damit die Daten des Rechners vor Gefahren wie Verlust oder Totalschaden geschützt werden, empfehlen die ARAG IT-Experten regelmäßig ein Backup auf einem externen Datenträger, der vom Rechner getrennt aufbewahrt werden sollte. Zum weiteren Schutz sollte die Firewall des Rechners standardmäßig aktiviert sein.

Weitere interessante Informationen unter:
https://www.arag.de/service/infos-und-news/rechtstipps-und-gerichtsurteile/internet-und-computer/

Die ARAG ist das größte Familienunternehmen in der deutschen Assekuranz und versteht sich als vielseitiger Qualitätsversicherer. Neben ihrem Schwerpunkt im Rechtsschutzgeschäft bietet sie ihren Kunden in Deutschland auch eigene einzigartige, bedarfsorientierte Produkte und Services in den Bereichen Komposit und Gesundheit. Aktiv in insgesamt 19 Ländern – inklusive den USA, Kanada und Australien – nimmt die ARAG zudem über ihre internationalen Niederlassungen, Gesellschaften und Beteiligungen in vielen internationalen Märkten mit ihren Rechtsschutzversicherungen und Rechtsdienstleistungen eine führende Position ein. Mit mehr als 4.400 Mitarbeitern erwirtschaftet der Konzern ein Umsatz- und Beitragsvolumen von rund 1,9 Milliarden EUR.

ARAG SE ARAG Platz 1 40472 Düsseldorf Aufsichtsratsvorsitzender Dr. Dr. h. c. Paul-Otto Faßbender
Vorstand Dr. Renko Dirksen (Sprecher), Dr. Matthias Maslaton, Wolfgang Mathmann, Hanno Petersen, Dr. Joerg Schwarze, Dr. Werenfried Wendler

Sitz und Registergericht Düsseldorf HRB 66846 USt-ID-Nr.: DE 119 355 995

Firmenkontakt
ARAG SE
Jennifer Kallweit
ARAG Platz 1
40472 Düsseldorf
+49 211 963-3115
Jennifer.Kallweit@ARAG.de
http://www.ARAG.de

Pressekontakt
Klaarkiming Kommunikation
Claudia Wenski
Steinberg 4
24229 Dänischenhagen
+49 4349 – 22 80 26
cw@klaarkiming-kommunikation.de
http://www.ARAG.de

13. September 2021
IT-Sicherheitsrisiko Krankenhaus

Zahlreiche Cybersecurity-Schwachstellen bei deutschen Krankenhäusern entdeckt – Auch kritische Infrastruktur stark betroffen

Bei einem Drittel aller deutschen Krankenhäuser gibt es Cybersecurity-Schwachstellen. Werden diese systematisch von Cyberkriminellen missbraucht, kann das zu einem nationalen Sicherheitsrisiko werden. Zu diesem Ergebnis kommt eine Studie von drei IT-Sicherheitsexperten aus Deutschland und Österreich für die CyCon-Konferenz der NATO, die aus Pandemiegründen virtuell stattfinden wird. Johannes Klick von Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Thomas Brandstetter von Limes Security haben die Ergebnisse jetzt unter dem Titel „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“ vorab veröffentlicht. Die Studie befindet sich im Review Prozess und hat die Sicherheitslage von im Internet öffentlich zugänglichen Systemen und Informationen von mehr als 1500 deutschen Krankenhäusern untersucht. 32 Prozent der analysierten Dienste wurden in unterschiedlichem Ausmaß als verwundbar eingestuft. 36 Prozent aller untersuchten Krankenhäuser weisen Angriffspunkte auf. Insgesamt wurden mehr als 900 kritische Schwachstellen identifiziert.

Besonders viele Schwachstellen bei großen Kliniken

Auffallend ist, dass Krankenhäuser, die nach der Einstufung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur kritischen Infrastruktur (KRITIS) gehören, eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser. Entgegen der Erwartung wird die IT-Sicherheit bei den zu KRITIS gehörenden Kliniken mit mehr als 30.000 vollstationären Behandlungen/Jahr offensichtlich nicht professioneller gehandhabt.

Insgesamt wurden mit Hilfe des Distributed Cyber Recon System (DCS) von Alpha Strike Labs, welches bereits auf dem CCCamp 2019 vorgestellt wurde, 1.483 GB Daten aus 89 verschiedenen globalen Internet-Scans ausgewertet. Damit konnten 1.555 deutsche Krankenhäuser erfasst werden. Bei der Angriffsoberflächenanalyse wurden mehr als 13.000 Service-Banner der Krankenhäuser zur Versionsidentifikation und anschließender CVE-basierter Schwachstellenidentifikation untersucht. 32 Prozent aller erreichbaren Netzwerkdienste waren schwachstellenbehaftet. So sind unter anderem immer noch sehr alte Windows 2003 Server im Einsatz, die schon seit 2015 keine Sicherheitsupdates mehr von Microsoft erhalten.

„Die deutschen Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Zahl veralteter, manchmal proprietärer Systeme, welche nur schwierig patchbar sind, sei es aufgrund von erforderlichen Re-Zertifizierungen oder dem Support-Ende von Software. Dem stehen sehr begrenzte Mittel für die IT-Sicherheit gegenüber,“ so Mitautor Robert Koch. „Der deutsche Gesundheitssektor bietet im Jahr 2020 trotz erhöhter Kritikalität und verstärkten Regulierungsbestrebungen zahlreiche sichtbare Angriffsflächen. Aus Sicht des nationalen Risikomanagements muss die Aufklärungsarbeit im Bereich IT-Security für KRITIS-Organisationen deutlich verstärkt werden.“ Johannes Klick ergänzt: „Durch Penetrationstests bei unseren Kunden wissen wir, dass Krankenhäuser häufig nicht ausreichend vor Cyberangriffen geschützt sind, oft fehlt es schlicht an Budget, Personal und vor allem Risikobewusstsein. Deshalb stellt sich die Frage, ob der Staat nicht selbst die Schwachstellensuche in die Hand nehmen sollte.“ Thomas Brandstetter sagt: „In anderen Regionen der Welt ist der Schutz kritischer Infrastrukturen schon deutlich länger und intensiver Staatsthema, mit entsprechenden Regulatorien und Budgets. Es besteht deutlicher Nachholbedarf. Sowohl der Gesundheitssektor als auch der Staat müssen sich effektiver aufstellen, um den Schutz wichtiger kritischer Infrastrukturen wie Krankenhäuser auch von digitaler Seite sicherzustellen.“

Alpha Strike Labs ist ein innovatives Sicherheitsforschungsunternehmen mit Sitz in Berlin, Wien und Hagenberg.In den Alpha Strike Labs wird Schwachstellenforschung betrieben, an neuen Angriffsmethoden geforscht und Lösungen zur besseren Angriffserkennung auf OT Systeme entwickelt. Speziell die Erkennung von potentiellen externen Angriffsflächen mittels Open Source Intelligence und globaler umfassender Internet-Scans stehen im Fokus der Forschung.Das exzellente Technologiewissen aus dem universitären Forschungsbereich kombiniert mit praktischer Erfahrung aus einer Vielzahl an Beratungsprojekten fördert die laufende Entwicklung neuer Methoden, die mit großem Kundenmehrwert in Projekten zum Einsatz kommen. Die innovativen Ansätze der Alpha Strike Labs wurden beim UP18@it-sa Security-Start-Up Wettbewerb mit einer Nominierung unter den besten 18 Security-Start-ups 2018 in der DACH Region ausgezeichnet. Seit Anfang 2020 sind Alpha Strike Labs Teil der Limes Security GmbH und bilden eine eigene F&E Einheit für Sicherheitsforschung. Außerdem fungiert Alpha Strike Labs als Inkubator für Produkt- und Service-Ideen.

Firmenkontakt
Alpha Strike Labs GmbH
Johannes Klick
Albert-Einstein-Straße 14
12489 Berlin
0176 444 30475
j.klick@alphastrike.io
https://www.alphastrike.io

Pressekontakt
ECCO Düsseldorf
Lutz Cleffmann
Klopstockstr. 14
402371 Düsseldorf
+49 211 23 94 49-21
info@ecco-duesseldorf.de
http://www.ecco-duesseldorf.de

Bildquelle: Alphas Strike Labs GmbH

22. Januar 2021
Jenkins Server von internen Endlosschleifen bedroht

Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betreibern von Jenkins Servern selbst, da ein Hacker mit nur einem gespooften UDP-Paket eine Endlosschleife aus Anfragen und Antworten zwischen mehreren Jenkins Servern initiieren kann, die erst beendet wird, wenn auch die jeweiligen Services beendet werden.

„Viele DevOps-Teams verlassen sich auf Jenkins, um ihre Anwendungen zu entwickeln, zu testen und kontinuierlich in Cloud- und Shared Hosting-Umgebungen wie Amazon, OVH, Hetzner, Host Europe, DigitalOcean, Linode und vielen anderen zu implementieren“ so Pascal Geenens, Cyber Security Evangelist bei Radware. „Ähnlich wie bei Memcrashed gehen die Leute, die im Rahmen des Open-Source-Projekts Jenkin entwickeln, davon aus, dass diese Server nur intern zur Verfügung stehen werden. In Wirklichkeit funktionieren diese Annahmen jedoch nicht gut, und viele Jenkins-Server sind tatsächlich öffentlich zugänglich.“

Reflective DoS

Jenkins unterstützt standardmäßig zwei Netzwerkerkennungsdienste: UDP-Multicast/Broadcast und DNS-Multicast. Die Schwachstelle ermöglicht es Angreifern, Jenkins-Server zu missbrauchen, indem sie UDP-Anforderungen von Port UDP/33848 aus reflektieren, was zu einem verstärkten DDoS-Angriff mit Jenkins-Metadaten führt. Dies ist möglich, weil Jenkins/Hudson-Server den Netzwerkverkehr nicht ordnungsgemäß überwachen und offen gelassen werden, um andere Jenkins/Hudson-Instanzen zu entdecken. Jenkins/Hudson hört jeden Datenverkehr auf dem UDP-Port 33848 ab und reagiert darauf. Ein Angreifer kann entweder lokal ein UDP-Broadcast-Paket an 255.255.255.255.255:33848 senden oder er kann ein UDP-Multicast-Paket an JENKINS_REFLECTOR:33848 einsetzen. Wenn ein Paket empfangen wird, sendet Jenkins oder sein Vorgänger Hudson unabhängig von der Nutzlast eine XML-Antwort mit Metadaten in einem Datagramm an den anfordernden Client. Durch die Erstellung von UDP-Paketen mit der IP eines Opfers als Quelle und der IP eines exponierten Jenkins-Servers und Port udp/33848 als Ziel kann ein böswilliger Akteur eine reflektierende Flut von Paketen zwischen dem Jenkins-Server und dem Opfer erzeugen. Der Verstärkungsfaktor variiert zwischen den Jenkins-Servern, beträgt aber im Durchschnitt 6,44.

Endlosschleife zwischen Jenkins-Servern

Sorgfältig gestaltete UDP-Pakete können auch zwei Jenkins-Server in eine Endlosschleife von Antworten bringen, wodurch ein Denial-of-Service gegen beide Server verursacht wird. Dies ist möglich, weil der Jenkins-Discovery-Service auf jede Anfrage reagiert, unabhängig von deren Inhalt. Ein UDP-Paket, das als Quelle die IP eines exponierten Servers und als Ziel die IP eines anderen exponierten Jenkins-Servers verwendet, wobei sowohl Quelle als auch Ziel auf den Port udp/33848 des Jenkins-Discovery Service gesetzt sind, gehen beide Jenkins-Server in eine unendliche Antwortschleife. Ein böswilliger Akteur wäre laut Radware zudem in der Lage, mehrere unendliche Antwortschleifen zwischen beliebigen exponierten Jenkins-Servern im Internet zu erstellen, wodurch schließlich ein vollständig vermaschter, unendlicher Strom von Paketen zwischen den exponierten Internet-Hosts entsteht.

Wenn der Port udp/33848 im Internet offengelegt wird, wird er zu einer öffentlichen Bedrohung und kann für DrDoS mit Verstärkung missbraucht oder dazu genutzt werden, die Jenkins-Cluster mehrerer Organisationen auszuschalten. Die Schwachstelle wurde in Jenkins 2.219 und LTS 2.204.2 behoben, indem sowohl UDP-Multicast/Broadcast als auch DNS-Multicast standardmäßig deaktiviert wurden.

Radware® (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.

Weitere Informationen finden Sie unter www.radware.com

Firmenkontakt
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
info_de@radware.com
https://www.radware.com

Pressekontakt
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
089 800 77-0
radware@prolog-pr.com
https://www.prolog-pr.com/radware

Bildquelle: Radware GmbH

10. Februar 2020
PDFex: Sicherheitsrisiko verschlüsselte PDF-Dateien? Erste Beurteilung und mögliche Alternativen

NoSpamProxy klärt auf, für wen welche Risiken tatsächlich bestehen und wer betroffen ist. Zudem werden Alternativen für Organisationen mit besonderen Sicherheitsanforderungen aufgezeigt.

Paderborn, 30. September 2019 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, erläutert eine aktuelle Sicherheitslücke (PDFex) bei verschlüsselten PDF-Dateien.

Viele Firmen nutzen verschlüsselte PDF-Dateien, um z.B. mit ihren Kunden DSGVO-konform zu kommunizieren, wenn diese nicht über Zertifikate oder Schlüssel verfügen, um bewährte und sichere Verschlüsselungsverfahren wie S/MIME oder PGP nutzen zu können. Unter bestimmten Bedingungen können Inhalte von verschlüsselten PDFs zugänglich gemacht werden. Ähnlich wie schon bei der vor einem Jahr unter dem Titel „Efail“ veröffentlichten Sicherheitslücke erfordert auch das nun beschriebene PDFex-Angriffsszenario, dass der Angreifer die Mail mit der angehängten verschlüsselten PDF-Datei abfängt und die PDF-Datei durch eigenen Schadcode verändert. Nach Eingabe des Schlüssels durch den Empfänger wird der Inhalt dann über den ergänzten Code an den Angreifer übermittelt. Das bedeutet, dass der Angriff ohne Mitwirkung des Empfängers nicht funktioniert.

Wer ist betroffen?

Der Angriff richtet sich ausschließlich gegen Empfänger von verschlüsselten und passwortgeschützten PDF-Dateien auf deren Client. Firmen, die Mail-Gateways nutzen, um ausgehende Mails automatisch DSGVO-konform zu versenden, sind nicht betroffen.

Welche Maßnahmen werden empfohlen?

– Wo möglich, konsequente Nutzung und Erzwingung von Transportverschlüsselung durch TLS beim Mailversand (Force-TLS) – hierdurch wird der Empfänger zuverlässig vor Man-in-the-Middle-Attacken geschützt

– Umfassende Prüfung der Absenderreputation im empfangenden Mail-Sicherheitssystem

– Durch intelligentes Anhangsmanagement können verschlüsselte PDF-Dateien von nicht bekannten Absendern entweder abgelehnt oder in einer Quarantäne zur weiteren Prüfung zurückgehalten werden

– Wenn ein besonders hohes Schutzbedürfnis besteht: Umstellung auf alternative Verfahren über ein Webportal

– Falls AES mit 256 Bit in der PDF-Verschlüsselung genutzt wird, kann auf 128 Bit umgestellt werden, da das Angriffsmuster bei AESV2 (AES128-CBC) erschwert ist

– Endanwender, die über die vorgenannten Möglichkeiten nicht verfügen, sollten passwortgeschützte verschlüsselte PDF-Dateien nur dann öffnen, wenn sie von vertrauenswürdigen Absendern kommen, die die vorgenannten Maßnahmen zum Schutz der Empfänger umgesetzt haben

– Endanwender sollten ihren PDF-Reader sofort auf die aktuellste Version umstellen. So ist der meistverwendete Adobe PDF-Reader in der aktuellen Version 2019.012.20040 vom 22.08.2019 bereits sicher vor dem berichteten Angriff

Bewertung des Angriffs-Szenarios

Nach Einschätzung des BSI und auch unserer Mail-Security-Experten ist die Wahrscheinlichkeit eines PDFex-Angriffs sehr gering und eine breite Verwendung des Angriffsmusters kaum möglich. Ein Grund hierfür ist vor allem, dass der Angreifer Zugang zum PDF – also der Mail – haben muss, was in der Regel schwer umsetzbar ist (er müsste sich ja bei einem Provider auf dem Weg der Mail eingenistet oder das Gateway kompromittiert haben). In der Praxis werden die Angriffe mit Blick auf den Aufwand und die Hürden eher mit nachrichtendienstlichen Zielen erfolgen und nicht in Form von klassischer Cyberkriminalität. Zudem waren die Angriffe der Forschungsgruppe nur bei teilweise und auch nur bei deutlich veralteten Softwareversionen erfolgreich.

Wie geht es weiter?

Die Nutzerakzeptanz von verschlüsselten PDFs ist im Vergleich zur Nutzung von Portallösungen – wie dem NoSpamProxy Webportal – deutlich höher. Dennoch sollten Organisationen mit besonderen Sicherheitsanforderungen die Möglichkeit in Betracht ziehen, auf die Bereitstellung über das Webportal umzustellen. Das kann durch eine einfache Konfigurationsänderung aktiviert werden. Um mögliche Akzeptanzprobleme zu minimieren, sollten die Nutzer entsprechend informiert werden. Für besonders sicherheitssensible Kunden wird NoSpamProxy kurzfristig eine angepasste Version bereitstellen, mit der diese Umstellung automatisch erfolgen kann.

Wenn Sie das Thema direkt mit uns diskutieren möchten, treffen Sie uns doch nächste Woche auf der it-sa. Sie können unter folgender URL einen Termin vereinbaren oder ein kostenloses Ticket für die it-sa anfordern: https://www.nospamproxy.de/de/it-sa-2019/

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy:
https://www.nospamproxy.de

Hier finden Sie die Meldung der Universität Bochum:
https://news.rub.de/wissenschaft/2019-09-30-informationstechnik-sicherheitsluecken-pdf-verschluesselung

Net at Work unterstützt als IT-Unternehmen seine Kunden mit Lösungen und Werkzeugen für die digitale Kommunikation und Zusammenarbeit. Der Geschäftsbereich Softwarehaus entwickelt und vermarktet mit NoSpamProxy ein innovatives Secure E-Mail-Gateway mit erstklassigen Funktionen für Anti-Spam, Anti-Malware und E-Mail-Verschlüsselung, dem weltweit mehr als 4.000 Kunden die Sicherheit ihrer E-Mail-Kommunikation anvertrauen. Die mehrfach ausgezeichnete Lösung – unter anderem Testsieger im unabhängigen techconsult Professional User Ranking – wird als Softwareprodukt und Cloud-Service angeboten. Mehr zum Produkt unter: www.nospamproxy.de
Im Servicegeschäft ist Net at Work als führender Microsoft-Partner mit acht Gold-Kompetenzen erste Wahl, wenn es um die Gestaltung des Arbeitsplatzes der Zukunft auf Basis von Microsoft-Technologien wie Office 365, SharePoint, Exchange, Skype for Business, Teams sowie Microsoft Azure als cloudbasierte Entwicklungsplattform geht. Dabei bietet das Unternehmen die ganze Bandbreite an Unterstützung: von punktueller Beratung über Gesamtverantwortung im Projekt bis hin zum Managed Service für die Kollaborationsinfrastruktur. Über die technische Konzeption und Umsetzung von Lösungen hinaus sorgt das Unternehmen mit praxiserprobtem Change Management dafür, dass das Potential neuer Technologien zur Verbesserung der Zusammenarbeit auch tatsächlich ausgeschöpft wird. Net at Work schafft Akzeptanz bei den Nutzern und sorgt für bessere, sichere und lebendige Kommunikation, mehr und effiziente Zusammenarbeit sowie letztlich für stärkere Agilität und Dynamik im Unternehmen.
Die Kunden von Net at Work finden sich deutschlandweit im gehobenen Mittelstand wie beispielsweise Diebold-Nixdorf, CLAAS, Miele, Lekkerland, SwissLife, Uni Rostock, Würzburger Versorgungs- und Verkehrsbetriebe und Westfalen Weser Energie.
Net at Work wurde 1995 gegründet und beschäftigt derzeit mehr als 100 Mitarbeiter in Paderborn und Berlin. Gründer und Gesellschafter des inhabergeführten Unternehmens sind Uwe Ulbrich als Geschäftsführer und Frank Carius, der mit www.msxfaq.de eine der renommiertesten Websites zu den Themen Office 365, Exchange und Skype for Business betreibt. www.netatwork.de

Firmenkontakt
Net at Work GmbH
Aysel Nixdorf
Am Hoppenhof 32 A
33104 Paderborn
+49 5251 304627
aysel.nixdorf@netatwork.de
http://www.nospamproxy.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Team Net at Work
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
netatwork@bloodsugarmagic.com
http://www.bloodsugarmagic.com

30. September 2019
Login VSI verkündet kostenlose Meltdown/Spectre Emergency-Lizenz

Sicherheits-Patches für Meltdown und Spectre bergen erhebliche potenzielle Performance Risiken für Windows User Experience

Der Softwareentwickler Login VSI (www.loginvsi.com) verkündet heute (17. Januar 2018) die Freigabe einer freien temporären Login VSI Lizenz. Der Industrieführer für VDI und DaaS Performance Testing bietet ab sofort seine Software zum freien Download für alle Endkunden mit einer Citrix XenApp & XenDesktop, VMware Horizon oder Microsoft RDS Umgebung an.

Diese kostenlose Emergency-Edition ist für Endkunden erhältlich, die den Performance-Einfluss aller Meltdown und Spectre Sicherheits-Patches testen und validieren möchten. Die Emergency-Edition ist zeitlich begrenzt, bis zum 31. März 2018 gültig.
Diese Emergency-Lizenz ermöglicht das Testen mit unbegrenzten Nutzern, beliebigen Standorten und beinhaltet alle Standard-Workloads. Unter www.loginvsi.com oder bei einem der ausgewählten Partner lässt sich diese kostenfreie Version anfordern.

Login VSI hat bereits mit einer Reihe von Tests in seiner Testumgebung begonnen, die genauen Ausmaße der Performance-Einbußen durch verschiedenste Sicherheits-Patches zu quantifizieren. Die Teste werden solange fortgesetzt, bis die genauen Umrisse des Problems erkannt und gelöst sind. Alle Testergebnisse sind öffentlich zugänglich unter www.loginvsi.com und werden über den Login VSI Newsletter (www.loginvsi.com/newsletter-sign-up) verbreitet.

Die Gefahren durch die beiden Sicherheitsrisiken Spectre und Meltdown sind in aller Munde. Alle Hersteller arbeiten gerade unter Hochdruck an Patches, um die Sicherheitslücken zu schließen. Da die Patches in Phasen veröffentlicht werden, wird der Fluss an neuen Updates vorerst anhalten. Updates für Windows OS und VMware vSphere sind bereits im Umlauf und OEM Firmware Updates werden bald folgen. Login VSI erwartet, dass die dringendsten Sicherheitsgefahren bis Ende März 2018 adressiert sein werden.

Unternehmen, die ihre business-kritischen Applikationen über zentralisierte Umgebungen operieren, suchen händeringend nach Möglichkeiten die potenziellen Performance-Einflüsse durch all die kommenden Veränderungen objektive zu bemessen und vorherzusagen. Als Industriestandard für Loadtests von Image-Anpassungen in zentralisierten Desktop Umgebungen, versteht Login VSI die Dringlichkeit und bietet Hilfe.

Mithilfe von objektiven Performancemessungen ist es möglich den Nebel zu lichten und die zahlreichen Gerüchte zu verschiedensten Performance-Einbüßen tatsächlich zu testen.
Die Mehrheit der Berichte erwartet einen Performance-Abfall von 5-30 %, der enorm von umgebungsspezifischen Faktoren abhängen wird. Es wird erwartet, das der größte Einfluss bei I/O intensiven und virtualisierten Umgebungen zu sehen sein wird. Dennoch werden voraussichtlich alle Systeme in unterschiedlicher Stärke betroffen sein und die UX wird ein zentrales Thema werden. Daher werden objektive Daten unverzichtbar sein.

Login VSI ist der Industriestandard für VDI und DaaS Performance Testing und Benchmarking. Mithilfe der weitverbreiteten Kennwerte „VSIbase“ und „VSImax“ ist objektives bemessen der Baseline-Performance und der Skalierbarkeit jedes zentralisierten Desktop Systems möglich.
Diese Performance Tests erzeugen Daten, mit denen schnelle und objektive Entscheidungen über die Skalierung von Hardware getroffen werden können. Aber sie helfen ebenso beim Feintuning des Systems, durch welches ebenfalls Performance Probleme von Sicherheits-Patches vermindert werden können. Schlussendlich ermöglicht Login VSI die Optimierung der gesamten Enduser Experience.

Über:

Login VSI B.V.
Herr Frans Wauters
De Entree 85
1101 BH Amsterdam
Niederlande

fon ..: +31 20 705 1200
web ..: http://www.loginvsi.com
email : marketing@loginvsi.com

.

Pressekontakt:

Login VSI B.V.
Herr Frans Wauters
De Entree 85
1101 BH Amsterdam

fon ..: +31 20 705 1200
web ..: http://www.loginvsi.com
email : marketing@loginvsi.com

17. Januar 2018
Content Disarming schützt vor DDE-Sicherheitslücke in Microsoft Office

DDE-Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang kein Patch von Microsoft angekündigt. Nur flexibles Content Disarming bietet Schutz.

Paderborn, 19. Oktober 2017 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, weist auf eine aktuell neue Bedrohungslage durch Mail-Anhänge hin.
Nachdem Sicherheitsforscher in der vergangenen Woche eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt haben, wird diese bereits in konkreten E-Mail-Angriffen ausgenutzt. Durch speziell präparierte Dateien im Microsoft-Excel- oder Microsoft-Word-Format können Angreifer nach der Öffnung der Dateien seitens des Benutzers beliebigen Code auf dem System des Benutzers ausführen. Dadurch erhalten die Hacker Zugriff auf den Windows-Rechner.

Aktuell wird Zunahme derartiger Attacken registriert

Diese Lücke wird zunehmend in Mail-Attacken mit entsprechenden Anhängen ausgenutzt. Das renommierte SANS Institute hat bereits eine deutliche Zunahme an Attacken mit alten Malware-Bekannten wie Hancitor registriert. So wurde am Montag ein massiver Anstieg derartiger Angriffe beobachtet.
Die Sicherheitslücke tritt unter Verwendung von Dynamic Data Exchange (DDE) auf. Dieses Protokoll dient dem Austausch von Applikationen und wird unter anderem von Excel verwendet, um externe Informationen einzubinden. Nach einem erfolgreichen Angriff sind alle Daten auf den betroffenen Systemen gefährdet. Diese Sicherheitslücke wird durch die von Microsoft am 10.10.2017 veröffentlichten Patches noch nicht geschlossen. Daher müssen die eingesetzten E-Mail-Security-Lösungen verlässliche Sicherheit bieten.

Nur flexibles Content Disarming schafft Sicherheit

Mithilfe eines intelligenten Anhangsmanagements lassen sich derartige Angriffe durch sogenanntes Content Disarming sicher abwehren. Dabei wandelt das Secure-Mail-Gateway Anhänge im Word- und Excel-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. So gelangt potenziell vorhandener Schadcode nicht in das Firmennetzwerk. Der Empfänger erhält dadurch einen garantiert ungefährlichen Anhang. Im PDF-Dokument findet sich eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung aufgeführt sind und – sofern gewünscht – auch ein Link zum Originaldokument, das sich in einer speziellen Quarantäne befindet.

Aktuelle Version 12 von NoSpamProxy steuert Content Disarming über die Reputation des Senders

In der aktuellen Version 12 von NoSpamProxy ist genau das möglich. NoSpamProxy kombiniert Content Disarming mit dem einzigartigen Level-of-Trust-Konzept und der Senderreputation. Im Falle einer akuten Bedrohungslage wie der aktuellen DDE-Lücke, können NoSpamProxy-Kunden einfach per Regel einstellen, dass Attachments von neuen oder unbekannten Sendern grundsätzlich über das Content Disarming laufen, während die Mails von Sendern mit höherer Reputation ungehindert passieren können. Erst diese feingliedrige Steuerbarkeit macht den Schutzmechanismus praxistauglich, da die normale Zusammenarbeit der Nutzer nicht gestört wird. Zudem senkt sie die Hemmschwelle für die IT, Content Disarming als wirksames Instrument einzusetzen, da die Beeinträchtigung der Nutzer auf ein Minimum reduziert wird.

„Content Disarming ist eine wirksame Maßnahme zum Schutz vor Malware-Anhängen in Mails. Erst wenn man dieses Instrument sehr zielgenau einsetzen kann, wird es praxistauglich. Dies ist ein weiterer Beleg dafür, dass ohne eine leistungsstarke und feingliedrige Bewertung der Senderreputation kaum noch ein praktikabler Schutz vor Malware und Spam gelingen kann“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work.

Hintergrundinformationen zu dieser Sicherheitslücke erhalten Sie hier: https://isc.sans.edu/forums/diary/Hancitor+malspam+uses+DDE+attack/22936/
Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier: https://www.nospamproxy.de

Zusammenfassung
Eine neue Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang wurde kein Patch von Microsoft dafür angekündigt, deshalb kann nur ein flexibles Content Disarming sicheren Schutz bieten.

Über:

Net at Work GmbH
Frau Aysel Nixdorf
Am Hoppenhof 32A
D-33104 Paderborn
Deutschland

fon ..: +49 5251 304627
web ..: http://www.netatwork.de
email : aysel.nixdorf@netatwork.de

Über Net at Work und NoSpamProxy
Die 1995 gegründete Net at Work GmbH ist Softwarehaus und Systemintegrator mit Sitz in Paderborn. Gründer und Gesellschafter des Unternehmens sind Geschäftsführer Uwe Ulbrich und Frank Carius, der mit www.msxfaq.de eine der renommiertesten Websites zu den Themen Exchange und Skype for Business betreibt.
Als Softwarehaus entwickelt und vermarktet Net at Work mit NoSpamProxy eine integrierte Gateway-Lösung für Secure E-Mail. NoSpamProxy bietet sichere Anti-Malware-/Anti-Spam-Funktionen, eine automatisierte E-Mail-Verschlüsselung sowie einen praxistauglichen Large File Transfer auf einer technischen Plattform. So garantiert der modulare Ansatz von NoSpamProxy eine vertrauliche und rechtssichere E-Mail-Kommunikation. Die Experton Group sieht NoSpamProxy als Product Challenger für E-Mail- und Web-Kollaboration. Zu den mehr als 2.000 Unternehmen, die die Sicherheit ihrer Mail-Kommunikation NoSpamProxy anvertrauen, gehören u. a. DaimlerBKK, Deutscher Ärzte-Verlag, Hochland, Komatsu Mining, das Kommunale RZ Minden-Ravensberg/Lippe und SwissLife. Weitere Informationen zur E-Mail Security Suite NoSpamProxy finden Sie unter www.nospamproxy.de.
Im Servicegeschäft bietet Net at Work ein breites Lösungsportfolio rund um die digitale Kommunikation und die Zusammenarbeit im Unternehmen mit einem besonderen Schwerpunkt auf dem Portfolio von Microsoft. Als Microsoft Gold Partner für Messaging, Communications, Collaboration and Content, Cloud Productivity und Application Development gehört Net at Work zu den wichtigsten Systemintegratoren für Microsoft Exchange, SharePoint und Skype for Business. Das erfahrene Team von langjährigen IT-Experten verfügt über umfassendes Know-how bei der Umsetzung individueller Kundenanforderungen und berücksichtigt bei Projekten neben der Skalierbarkeit, Flexibilität und Sicherheit der Lösung auch die Einhaltung der definierten Zeit- und Budgetziele. Kunden finden somit bei allen Fragen kompetente Ansprechpartner, die ihnen helfen, modernste Technologien effizient und nahtlos in bewährte Geschäftsprozesse zu integrieren. Zu den Kunden im Servicegeschäft gehören u. a. Claas, Miele, die Spiegel Gruppe, die Universität Duisburg-Essen sowie Diebold-Nixdorf.
Weitere Informationen zum Unternehmen Net at Work und dem Serviceangebot finden Sie unter www.netatwork.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 9461220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

19. Oktober 2017