• CXOs wurden im vergangenen Jahr viel häufiger Opfer von Phishing als andere

    VonJuliane Heinen

    Laut einer internationalen Studie von Ivanti aus dem Jahr 2023 ist die Wahrscheinlichkeit, Opfer von Phishing-Angriffen zu werden, bei F\u00fchrungskr\u00e4ften viermal h\u00f6her als bei durchschnittlichen Mitarbeitern. Die Studie zeigt: CXOs klickten h\u00e4ufiger auf betr\u00fcgerische Links und \u00fcberwiesen in Einzelf\u00e4llen sogar Geld an Angreifer.

    Warum F\u00fchrungskr\u00e4fte besonders gef\u00e4hrdet sind

    F\u00fchrungskr\u00e4fte sind f\u00fcr Angreifer aus mehreren Gr\u00fcnden hochwertige Ziele:

    • Privilegierte Zug\u00e4nge: CEOs, CFOs und CIOs haben Zugriff auf strategische Dokumente, Finanzfreigaben und Administrations-Portale. Ein kompromittierter CEO-Account \u00f6ffnet T\u00fcren, die ein Standard-Account nicht \u00f6ffnet
    • Entscheidungsbefugnis: F\u00fchrungskr\u00e4fte k\u00f6nnen Zahlungen freigeben, Vertr\u00e4ge unterzeichnen und strategische Informationen weitergeben \u2014 ohne R\u00fcckfrage bei anderen
    • \u00d6ffentliche Sichtbarkeit: LinkedIn-Profile, Konferenz-Auftritte, Pressemitteilungen und Unternehmenswebsites liefern Angreifern das Material f\u00fcr hochgradig personalisiertes Spear-Phishing
    • Zeitdruck und Informationsflut: C-Level-Entscheider erhalten hunderte E-Mails t\u00e4glich und treffen Entscheidungen unter Zeitdruck \u2014 ideale Bedingungen f\u00fcr Social Engineering

    Das Paradox: Bewusstsein ohne Verhalten

    Die Ivanti-Studie offenbart ein bemerkenswertes Paradox: F\u00fchrungskr\u00e4fte wenden sich 2,5-mal h\u00e4ufiger an die IT-Sicherheitsabteilung als durchschnittliche Mitarbeiter. Sie wissen also, dass Cyberbedrohungen existieren. Trotzdem ist jede dritte F\u00fchrungskraft im vergangenen Jahr Opfer eines Phishing-Angriffs geworden.

    Die Erkl\u00e4rung: Wissen \u00fcber Bedrohungen \u00fcbersetzt sich nicht automatisch in sicheres Verhalten. Unter Zeitdruck, bei Reisen oder in ungew\u00f6hnlichen Situationen fallen auch sensibilisierte Personen auf gut gemachtes Social Engineering herein. Die Ivanti-Studie zeigt explizit, dass F\u00fchrungskr\u00e4fte bei der t\u00e4glichen digitalen Hygiene nachl\u00e4ssiger sind als andere Mitarbeiter.

    CEO-Fraud und Business Email Compromise

    Die gezielte Ansprache von F\u00fchrungskr\u00e4ften hat einen eigenen Namen: Whaling \u2014 die Jagd auf den gro\u00dfen Fisch. In Kombination mit Business Email Compromise (BEC) geh\u00f6rt Whaling zu den finanziell sch\u00e4dlichsten Angriffsformen. Laut dem FBI Internet Crime Report 2023 verursachte BEC Sch\u00e4den von \u00fcber 2,9 Milliarden US-Dollar allein in den USA.

    Moderne Whaling-Angriffe nutzen zunehmend Deepfake-Audio und -Video: Angreifer klonen Stimmen von Gesch\u00e4ftsf\u00fchrern aus \u00f6ffentlich verf\u00fcgbaren Aufnahmen und setzen sie f\u00fcr telefonische Freigaben oder Videokonferenzen ein. Der bekannteste Fall: Ein Finanzangestellter in Hongkong \u00fcberwies 2024 25 Millionen US-Dollar, nachdem er in einer Videokonferenz von Deepfake-Versionen seiner Kollegen und seines CFO \u00fcberzeugt wurde.

    Handlungsempfehlungen

    F\u00fcr das Security-Awareness-Programm:

    • Separate Trainings f\u00fcr F\u00fchrungskr\u00e4fte: Standard-Awareness-Trainings reichen f\u00fcr C-Level nicht aus. Die Angriffsszenarien sind ausgefeilter und erfordern spezifische Inhalte
    • Realistische Simulationen: Phishing-Simulationen f\u00fcr F\u00fchrungskr\u00e4fte m\u00fcssen den Anspruch echter Spear-Phishing-Kampagnen widerspiegeln \u2014 personalisiert, kontextbezogen, zeitkritisch
    • Deepfake-Awareness: F\u00fchrungskr\u00e4fte m\u00fcssen wissen, dass Audio und Video f\u00e4lschbar sind. Jede Freigabe-Anforderung per Telefon oder Video erfordert eine Out-of-Band-Verifikation

    F\u00fcr technische Schutzma\u00dfnahmen:

    • Privileged Access Management: C-Level-Accounts als hochprivilegiert behandeln \u2014 mit zus\u00e4tzlicher MFA, Conditional Access und Session-Monitoring
    • Zahlungsfreigabe-Prozesse h\u00e4rten: Vier-Augen-Prinzip f\u00fcr alle Transaktionen \u00fcber einem definierten Schwellenwert, mit verpflichtender R\u00fcckbestätigung \u00fcber einen zweiten Kanal
    • SIEM-basiertes VIP-Monitoring: Erh\u00f6hte \u00dcberwachung f\u00fcr C-Level-Accounts \u2014 ungew\u00f6hnliche Login-Muster, Inbox-Rule-\u00c4nderungen und Mail-Weiterleitungen als hochprioritäre Alerts

  • Alles, was Sie über Zero-Day-Angriffe wissen wollten

    VonJuliane Heinen

    Was ist Zero-Day?

    Eine Zero-Day-Schwachstelle ist eine Software-Schwachstelle, die bereits von Hackern entdeckt wurde. Aber Entwickler und Cybersicherheitsexperten wissen nicht einmal, dass sie existiert. Dementsprechend gibt es kein Update, um die Schwachstelle zu beheben. Das verschafft Angreifern einen deutlichen Vorsprung.

    Ein Zero-Day-Exploit ist ein Programm oder eine Methode, mit der Angreifer eine identifizierte Schwachstelle ausnutzen.

    Ein Zero-Day-Angriff ist die direkte Ausnutzung eines von Hackern entwickelten Exploits. Manchmal können sie es sofort nach der Entwicklung verwenden und müssen nicht auf den richtigen Moment warten. Häufig wird es angewendet, um Daten zu stehlen oder vorübergehend Zugriff auf Server zu erhalten aber auch um sie zu infizieren und damit Angriffe weiter auszudehnen.

    Hacker haben in jedem Fall einen deutlichen Vorsprung, der ihnen die Möglichkeit gibt, Angriffe mit hoher Erfolgswahrscheinlichkeit durchzuführen. Oder sie verkaufen diese Informationen über neu entdeckte Schwachstellen für viel Geld auf dem Schwarzmarkt.

    Wie kann man erkennen, dass man Opfer eines Zero-Day-Angriffes ist?

    Obwohl Sie die Existenz einer Schwachstelle möglicherweise nicht vermuten, verfügen Sie über das Wissen, wie Ihre IT-Infrastruktur unter normalen Bedingungen funktioniert. Machen Sie sich dazu regelmäßig mit den Systemstatistiken vertraut.

    Ungewöhnliches Verhalten und Leistungsindikatoren dieser Systeme zeigen Ihnen, dass etwas nicht stimmt. Denn Viren können nicht völlig unbemerkt im Umlauf sein. Das Problem kann jedoch sein, dass die Änderungen geringfügig sind oder der Virus recht schnell ausgeführt wird.

    Ein weiteres nützliches Element sind Antivirenprogramme und Datenbanken mit vorhandenen Viren. Wie wir bereits gesagt haben, werden Viren nicht spurlos ausgeführt. Sie können aber auch nach einem typischen Szenario ausgeführt werden, das von einem Antivirusprogramm erkannt werden sollte. Durch den Vergleich des Verhaltens unbekannter Schadsoftware mit bereits vorhandener soll das Antivirusprogramm deren Betrieb blockieren oder zumindest vor der Bedrohung warnen. Diese Programme arbeiten automatisch und sind in der Lage, die Systemleistung in Echtzeit zu bewerten. Ein solcher Schutz kann Sie effektiv vor einem möglichen Angriff warnen, aber leider ist es unwahrscheinlich, dass er Sie schützen kann.

    Wie Sie das Risiko einer 0-Day-Attacke reduzieren können?

    Überwachen Sie, wie oben bereits angedeutet, den Betrieb Ihrer Systeme und achten Sie auf ungewöhnliches Verhalten.

    Implementieren Sie ein Patch-Management-System. Die neuesten Programmversionen sind in der Regel die sichersten. Selbst wenn Unternehmen ein unsicheres Update veröffentlichen, wird dessen Sicherheit ziemlich schnell gepatcht. Deshalb sollten Sie so schnell wie möglich aktualisieren.

    Es ist notwendig, einen Aktionsplan zu haben, falls ein Zero-Day-Angriff auf Sie erfolgreich ist. Hauptsächlich verpflichtet es Sie, regelmäßig Backups aller Daten, Websites usw. anzufertigen. Es ist auch ratsam, im Voraus zu wissen, wie Sie den entspechenden Dienstleister kontaktieren können, sodass Ihre Systeme schnellstmöglich wiederhergestellt werden können.

    Verwenden Sie Firewalls und Antivirenprogramme. Damit können Sie im Idealfall sogar neue Angriffe erkennen. Beide sollten dafür vernünftig konfiguriert sein.

    Entfernen Sie Anwendungen, die Sie selten oder nicht verwenden, von Ihren Geräten. Sie können zu einem Einstiegspunkt für Angreifer werden. Ebenso sollten Sie alte Anwendungen, welche nicht mehr regelmäßig Sicherheitsupdates erhalten, aus Ihren Systemen ausschließen. Wechseln Sie zu einer neuen Alternative oder geben Sie sie auf. Neue Alternativen werden besser geeignet sein, um vor neuer Malware zu schützen.

    Wie Neosec Ihnen helfen kann, sicher zu bleiben?

    Die oben genannten Maßnahmen werden Ihre Sicherheit nur geringfügig verbessern oder vor einem möglichen 0-Day-Angriff warnen können. Professionelles Setup, individuelles Schutzdesign und Tracking durch Cybersicherheitsexperten ermöglicht Ihnen, selbst diese Arten von Angriffen zu blockieren und die Wahrscheinlichkeit zu verringern, dass Ihre Systeme solchen Angriffen ausgesetzt sind.

    Wir erkennen ungewöhnliche Aktivitäten nicht nur durch automatisierte Methoden, sondern prüfen jede dieser Warnungen auch einzeln. Und dafür verwenden wir komplexere Tools zur tieferen Verifizierung von Systemen.

    Wir implementieren ein zentralisiertes automatisches Patch-Management. Alle Ihre Geräte verfügen über die neuesten Versionen der Programme, ganz ohne Ihr mitwirken. Wir können Sie auch darüber beraten, welche Programme Sie vermeiden sollten und welche sichereren Alternativen es gibt.

    Wir passen den Zugang Ihrer Mitarbeiter zu IT-Systemen nach ihren Bedürfnissen an. Ein erfolgreicher Angriff auf einen bestimmten Mitarbeiter oder sogar eine ganze Abteilung betrifft also nur deren Systeme und nicht das Unternehmen als Ganzes.

    Unsere Erfahrung in der Arbeit mit Firewalls und Antivirenprogrammen ermöglicht es Ihnen, diese richtig zu konfigurieren und die besten für Sie auszuwählen.

    Auch im Falle eines erfolgreichen Angriffs haben Sie alles bereit, um die Arbeit schnellstmöglich wieder aufzunehmen. Bei Bedarf kann für Kunden ein vollständig unterbrechungsfreier Betrieb eingerichtet werden.

    Was ist, wenn nichts getan wird?

    Auf die Produkte großer Konzerne können Sie sich nach wie vor verlassen, in der Hoffnung, dass diese Produkte vollständig geschützt sind. Aber in den letzten drei Jahren sind Apple, Google, Microsoft, Zoom und andere erfolgreich solchen Angriffen erlegen. Ihre Systeme sind sperrig und komplex, was ihren Schutz zu einer äußerst schwierigen Aufgabe macht. Dies verursacht periodische Löcher in der Abwehr. Ihr Schutz hat für sie möglicherweise nicht immer Priorität.

  • Phishing-as-a-Service wächst weiter

    VonJuliane Heinen

    Bei der Untersuchung von Phishing-Angriffen entdeckte Mandiant (inzwischen Teil von Google Cloud) im Oktober 2022 eine neue Phishing-as-a-Service-Plattform namens Caffeine. Der Dienst zielte zum Zeitpunkt der Entdeckung auf den Diebstahl von Microsoft 365-Anmeldeinformationen ab — mit der technischen Infrastruktur, schnell auf weitere Dienste zu skalieren.

    Was Caffeine von anderen PhaaS-Plattformen unterschied

    Phishing-as-a-Service war 2022 kein neues Phänomen. Plattformen wie EvilProxy boten bereits ähnliche Dienste an. Caffeine unterschied sich jedoch in mehreren Punkten:

    • Offene Registrierung: Während EvilProxy ein Einladungssystem nutzte, war die Registrierung bei Caffeine kostenlos und ohne Zugangsbeschränkung möglich. Das senkte die Einstiegshürde auf praktisch null
    • Fertige Angriffs-Templates: Caffeine bot vorkonfigurierte Phishing-Vorlagen — zum Zeitpunkt der Entdeckung mit Fokus auf chinesische und russische Organisationen, aber technisch erweiterbar
    • Intuitive Benutzeroberfläche: Dashboard zur Kampagnenverwaltung, Echtzeit-Statistiken und automatisierte E-Mail-Versendung — nutzbar ohne technische Vorkenntnisse
    • Legitime Infrastruktur als Tarnung: Die Bewerbung des Dienstes erfolgte über zuvor kompromittierte WordPress-Websites, was die Identifikation und Abschaltung erschwerte

    Caffeine als Symptom eines größeren Trends

    Caffeine war ein frühes Beispiel für die Industrialisierung von Phishing. Seit 2022 hat sich der PhaaS-Markt massiv weiterentwickelt. Plattformen wie Tycoon 2FA, Sneaky2FA, FlowerStorm und Greatness bieten inzwischen ausgereiftere Dienste an — inklusive Adversary-in-the-Middle-Funktionalität, die selbst MFA-geschützte Accounts kompromittiert.

    Microsoft warnte bereits im September 2022 vor der zunehmenden Kommerzialisierung von Cyberangriffen als Dienstleistung. Der Microsoft Digital Defense Report 2022 dokumentierte einen Anstieg von Phishing-Angriffen um 61 Prozent im Vergleich zum Vorjahr — ein Trend, der sich seitdem beschleunigt hat.

    Die Logik dahinter ist einfach: PhaaS-Plattformen demokratisieren Cyberkriminalität. Jeder mit einer Kreditkarte und grundlegenden Computerkenntnissen kann innerhalb von Minuten eine professionelle Phishing-Kampagne starten. Die Plattformen übernehmen Hosting, E-Mail-Versand, Credential-Harvesting und sogar die Umgehung von Sicherheitsmaßnahmen.

    Warum klassische Schutzmaßnahmen versagen

    Die Standardempfehlungen — verdächtige Links nicht anklicken, Absender prüfen, auf Tippfehler achten — verlieren gegen PhaaS-generierte Kampagnen zunehmend an Wirksamkeit. Die Gründe:

    • Professionelle Qualität: PhaaS-Templates sind sprachlich und visuell kaum von legitimen E-Mails zu unterscheiden
    • Legitime Infrastruktur: Phishing-Seiten laufen auf kompromittierten Domains mit gültigen SSL-Zertifikaten
    • MFA-Umgehung: Neuere PhaaS-Plattformen setzen Reverse-Proxy-Techniken ein, die Session-Cookies in Echtzeit abfangen — MFA wird nicht gebrochen, sondern umgangen

    Handlungsempfehlungen

    • FIDO2/Passkeys für kritische Accounts: Der einzige MFA-Mechanismus, der gegen Reverse-Proxy-Phishing strukturell resistent ist
    • Conditional Access mit Device Compliance: Gestohlene Session-Cookies von nicht-verwalteten Geräten werden blockiert
    • E-Mail-Security jenseits von Spam-Filtern: Link-Detonation, Sandbox-Analyse und Echtzeit-URL-Reputation prüfen Links zum Zeitpunkt des Klicks — nicht nur beim Empfang
    • Security Awareness aktualisieren: Mitarbeiter trainieren, Login-Seiten direkt über Bookmarks aufzurufen, statt Links in E-Mails zu folgen
    • SIEM-basiertes Monitoring: Post-Authentication-Anomalien erkennen — Impossible Travel, ungewöhnliche Inbox-Regeln, MFA-Neuregistrierungen

  • HTTPS Blacklists

    VonJuliane Heinen

    Apple, Mozilla und Let’s Encrypt forderten Ende 2022 gemeinsam die Einführung einer zentralen Sperrliste für kompromittierte SSL/TLS-Zertifikate. Google — dessen Browser Chrome über 60 Prozent Marktanteil hält — hat sich zu dem Vorschlag zunächst nicht geäußert. Die Initiative wirft eine grundlegende Frage auf: Wie kann das Ökosystem der Web-Verschlüsselung mit kompromittierten Zertifikaten umgehen, ohne die Performance und Verfügbarkeit des Internets zu beeinträchtigen?

    Was SSL/TLS-Zertifikate leisten — und wo das Problem liegt

    SSL/TLS-Zertifikate sind das Fundament der Web-Verschlüsselung. Sie stellen sicher, dass die Verbindung zwischen Browser und Webserver verschlüsselt ist (das Schloss-Symbol in der Adressleiste) und dass die Website tatsächlich dem angegebenen Betreiber gehört. Zertifikate werden von Certificate Authorities (CAs) wie Let’s Encrypt, DigiCert oder Sectigo ausgestellt.

    Das Problem entsteht, wenn Zertifikate kompromittiert werden — etwa durch gestohlene Private Keys, fehlkonfigurierte Server oder kompromittierte CAs. In solchen Fällen muss das Zertifikat widerrufen werden. Aber wie erfährt der Browser, dass ein Zertifikat ungültig ist?

    CRL und OCSP: Die gescheiterten Ansätze

    Historisch gab es zwei Mechanismen:

    • Certificate Revocation Lists (CRL): Eine zentrale Liste aller widerrufenen Zertifikate, die Browser regelmäßig herunterladen. In den Anfängen des Web funktionierte das. Mit dem exponentiellen Wachstum der Zertifikatszahlen wurden CRLs zu groß und zu langsam — und wurden von den meisten Browsern aufgegeben
    • Online Certificate Status Protocol (OCSP): Der Browser fragt bei jedem Seitenaufruf den OCSP-Server der CA, ob das Zertifikat noch gültig ist. Das erzeugt Latenz, Datenschutzprobleme (die CA erfährt, welche Websites der Nutzer besucht) und funktioniert nicht, wenn der OCSP-Server nicht erreichbar ist. Die meisten Browser implementieren daher Soft-Fail: Wenn der OCSP-Server nicht antwortet, wird das Zertifikat trotzdem akzeptiert

    Das Ergebnis: In der Praxis werden widerrufene Zertifikate von vielen Browsern stillschweigend akzeptiert.

    Der Vorschlag: CRLite und kompakte Sperrlisten

    Der Vorstoß von Apple, Mozilla und Let’s Encrypt zielt auf eine verbesserte Technologie: komprimierte Sperrlisten, die lokal im Browser vorgehalten und regelmäßig aktualisiert werden. Mozilla entwickelt mit CRLite einen Ansatz, der die gesamte Widerrufsinformation des Web-PKI-Ökosystems in eine Datenstruktur von wenigen Megabyte komprimiert. Updates werden inkrementell ausgeliefert — ähnlich wie Virendefinitionen.

    Der Vorteil: Kein OCSP-Lookup bei jedem Seitenaufruf, keine Latenz, kein Datenschutzproblem, kein Soft-Fail. Der Browser hat die Information lokal und kann kompromittierte Zertifikate zuverlässig blockieren.

    Warum Googles Position entscheidend ist

    Chrome hat mit über 60 Prozent den größten Marktanteil unter den Desktop-Browsern. Ohne Chromes Unterstützung bleibt jede Sperrlisten-Initiative lückenhaft. Google verfolgt mit CRLSets einen eigenen Ansatz — eine kuratierte, kleinere Liste besonders kritischer Widerrufe. Kritiker bemängeln, dass CRLSets nur einen Bruchteil der widerrufenen Zertifikate abdecken.

    Google hat inzwischen angekündigt, OCSP-Checks in Chrome vollständig abzuschaffen, da sie in der Praxis keinen effektiven Schutz bieten. Ob Chrome auf CRLite oder eine vergleichbare Technologie umschwenkt, ist offen.

    Relevanz für Unternehmen

    Für Unternehmen hat die Zertifikats-Thematik praktische Konsequenzen:

    • Zertifikatsmanagement: Unternehmen müssen ihre eigenen Zertifikate aktiv verwalten — Ablaufdaten überwachen, kompromittierte Zertifikate zeitnah widerrufen und Private Keys sicher speichern
    • Certificate Transparency Monitoring: Dienste wie crt.sh ermöglichen es, neu ausgestellte Zertifikate für die eigenen Domains zu überwachen. Unautorisiert ausgestellte Zertifikate können ein Hinweis auf DNS-Hijacking oder CA-Kompromittierung sein
    • Phishing-Erkennung: Das Schloss-Symbol allein ist kein Sicherheitsindikator. Auch Phishing-Seiten verwenden gültige SSL-Zertifikate — Let’s Encrypt stellt Zertifikate automatisiert und kostenlos aus. Mitarbeiter müssen wissen, dass HTTPS lediglich die Verschlüsselung der Verbindung garantiert, nicht die Legitimität der Website

  • Angriffe auf Hochschulen

    VonJuliane Heinen

    Im November 2022 wurde die Universität Duisburg-Essen (UDE) Opfer eines schwerwiegenden Ransomware-Angriffs. Die Angreifer verschlüsselten große Teile der IT-Infrastruktur, woraufhin die Universität sämtliche Systeme vom Netz nahm. Betroffen waren Büroanwendungen, interne Verwaltungssysteme, E-Mail-Verkehr und Telefonkommunikation — der gesamte digitale Betrieb stand still.

    Hochschulen als systematisches Ziel

    Die UDE war kein Einzelfall. Im gleichen Zeitraum wurden mehrere deutsche Hochschulen angegriffen. Die HAW Hamburg meldete im Dezember 2022 einen Ransomware-Vorfall, die Hochschule Karlsruhe im September 2022 und die Universität Gießen hatte bereits 2019 einen monatelangen IT-Ausfall nach einem Cyberangriff erlitten.

    Das BSI stufte die Bedrohungslage für den Bildungssektor in seinem Lagebericht 2022 als erhöht ein. Der Grund: Hochschulen vereinen mehrere Risikofaktoren:

    • Große, heterogene IT-Landschaften: Tausende Endgeräte, dezentrale Verwaltung, Forschungsnetze mit speziellen Anforderungen
    • Offene Netzwerk-Kultur: Akademische Freiheit bedeutet oft liberale Zugriffsrichtlinien — ein Gegensatz zu Enterprise-Security
    • Begrenzte Security-Budgets: IT-Sicherheit konkurriert mit Forschungs- und Lehrbudgets und ist chronisch unterfinanziert
    • Wertvolle Daten: Forschungsdaten, Personaldaten von tausenden Mitarbeitern und Studierenden, Prüfungsdaten, Finanzdaten

    Der Angriff auf die UDE im Detail

    Die Universität informierte am 27. November 2022 über den Vorfall. Die gesamte IT-Infrastruktur wurde als Sofortmaßnahme abgeschaltet — ein Schritt, der den laufenden Lehrbetrieb massiv beeinträchtigte. E-Mail-Kommunikation war über Wochen nicht möglich, Prüfungen mussten verschoben werden, Verwaltungsprozesse liefen nur noch analog.

    Die Wiederherstellung dauerte Monate. Die UDE setzte Notfall-Kommunikationskanäle ein und arbeitete mit externen IT-Forensikern und dem BSI zusammen. Der Vorfall verdeutlichte, wie abhängig moderne Hochschulen von ihrer digitalen Infrastruktur sind — und wie wenig Resilienz in vielen Fällen vorhanden ist.

    Einordnung: Öffentliche Einrichtungen im Fadenkreuz

    Hochschulen stehen exemplarisch für ein breiteres Problem: Öffentliche Einrichtungen mit begrenzten IT-Budgets sind systematisch unterbewacht. Kommunen, Krankenhäuser, Schulen und Universitäten bilden einen wachsenden Anteil der Ransomware-Opfer in Deutschland.

    Der Angriff auf den IT-Dienstleister Südwestfalen-IT im Oktober 2023 zeigte die Dimension: Über 100 Kommunen waren gleichzeitig betroffen, Bürgerservices fielen monatelang aus. Die Parallele zu Hochschulen: In beiden Fällen führt ein einzelner erfolgreicher Angriff zum Ausfall von Diensten, die Tausende oder Zehntausende Menschen betreffen.

    Handlungsempfehlungen für den Bildungssektor

    • Netzwerksegmentierung: Verwaltungsnetz, Forschungsnetz und Studierendennetz trennen. Ein kompromittiertes Studierenden-Gerät darf nicht das Verwaltungssystem erreichen
    • Backup-Strategie nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine offline. Regelmäßig getestete Wiederherstellung — nicht nur dokumentierte
    • SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Open-Source-Lösungen wie Wazuh bieten Enterprise-Funktionalität ohne Lizenzkosten
    • Incident-Response-Plan: Wer wird informiert? Wer entscheidet über Abschaltung? Wie kommuniziert die Hochschule ohne E-Mail? Diese Fragen müssen vor dem Ernstfall geklärt sein

  • Mehr als 22 TB personenbezogener Daten von Schülern könnten online sein

    VonJuliane Heinen

    Sicherheitsforscher von vpnMentor entdeckten im September 2022 zwei fehlkonfigurierte AWS S3-Buckets des US-amerikanischen Bildungsverlags McGraw Hill. Die Buckets enthielten über 22 Terabyte an Daten — darunter mehr als 117 Millionen Datensätze mit akademischen Verläufen und personenbezogenen Daten von Schülern und Studierenden, vorwiegend aus den USA und Kanada.

    Was exponiert war

    McGraw Hill ist einer der größten Bildungsverlage weltweit und bietet digitale Lernplattformen, E-Books und Bewertungssysteme an, die von tausenden Schulen und Universitäten genutzt werden. Die exponierten AWS-Buckets enthielten:

    • Personenbezogene Daten: Namen, E-Mail-Adressen, Postanschriften von Schülern und Studierenden
    • Akademische Daten: Noten, Kursverläufe, Bewertungsergebnisse, Abschlussarbeiten
    • Institutionsdaten: Informationen über Schulen und Universitäten, die McGraw-Hill-Produkte nutzen
    • Zugangsdaten: Teilweise Anmeldeinformationen für die Lernplattformen

    Besonders brisant: Die Daten betrafen überwiegend Minderjährige. In den USA unterliegen Schülerdaten dem FERPA (Family Educational Rights and Privacy Act), der strenge Vorgaben für den Schutz akademischer Aufzeichnungen macht.

    Ursache: Fehlkonfigurierte AWS S3-Buckets

    Die Ursache war keine Hackerattacke, sondern eine Cloud-Fehlkonfiguration. Die S3-Buckets waren öffentlich zugänglich konfiguriert — ein Fehler, der trotz jahrelanger Warnungen von AWS und der Security-Community immer wieder vorkommt.

    AWS S3 ist standardmäßig privat konfiguriert. Öffentliche Zugriffe müssen explizit aktiviert werden. Dass zwei Buckets mit 22 Terabyte sensibler Daten öffentlich erreichbar waren, deutet auf grundlegende Defizite im Cloud Security Posture Management (CSPM) hin — fehlende automatisierte Überprüfung der Bucket-Konfigurationen, keine Alerts bei öffentlichen Zugriffen, keine regelmäßigen Security-Audits der Cloud-Infrastruktur.

    Cloud-Fehlkonfigurationen: Ein systemisches Problem

    Der McGraw-Hill-Vorfall ist keine Ausnahme. Laut dem IBM Cost of a Data Breach Report 2023 sind Cloud-Fehlkonfigurationen der dritthäufigste Angriffsvektor — verantwortlich für 11 Prozent aller Datenschutzverletzungen. Gartner prognostizierte bereits 2019, dass bis 2025 über 99 Prozent der Cloud-Security-Vorfälle auf Kundenfehler zurückzuführen sein würden.

    Bekannte Fälle öffentlich zugänglicher S3-Buckets umfassen Unternehmen wie Twitch, Facebook, Verizon und verschiedene US-Regierungsbehörden. Das Muster ist immer dasselbe: sensible Daten in Cloud-Storage, das versehentlich oder durch mangelnde Governance öffentlich konfiguriert wurde.

    Handlungsempfehlungen

    • Cloud Security Posture Management (CSPM) implementieren: Automatisierte Tools, die Cloud-Konfigurationen kontinuierlich gegen Security-Baselines prüfen und bei Abweichungen alarmieren
    • S3 Block Public Access auf Account-Ebene aktivieren: AWS bietet die Möglichkeit, öffentliche Zugriffe auf S3 pauschal für den gesamten Account zu blockieren — unabhängig von Bucket-Einstellungen
    • Datenklassifizierung: Sensible Daten — insbesondere personenbezogene Daten von Minderjährigen — müssen als solche klassifiziert und mit entsprechenden Schutzmaßnahmen versehen werden
    • Regelmäßige Cloud-Audits: Automatisierte CSPM-Tools ergänzen, nicht ersetzen regelmäßige manuelle Reviews der Cloud-Architektur durch Security-Experten
    • Lieferanten-Sicherheit prüfen: Schulen und Universitäten, die Cloud-basierte Bildungsplattformen einsetzen, sollten die Datenschutzpraktiken ihrer Anbieter aktiv hinterfragen — nicht nur die Datenschutzerklärung lesen

  • Neue Zero-Day-Schwachstellen wurden entdeckt

    VonJuliane Heinen

    Microsoft Exchange 0-Day-Schwachstellen

    Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.

    Die Wirkung des Angriffs

    Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.

    Antwort von Microsoft und BSI

    Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.

    Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.

    Verfügbare Schutzlösungen

    Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.

    Wie der Angriff ausgeführt wird

    Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.

  • VPN als Schutz. Sein oder nicht sein?

    VonJuliane Heinen

    Mehr als 600 bekannte Schwachstellen in VPN-Produkten sind in der CVE-Datenbank registriert. Laut dem Zscaler VPN Risk Report 2022 verlassen sich trotzdem 95 Prozent der Unternehmen auf VPN als primären Remote-Access-Mechanismus. Gleichzeitig beobachteten 44 Prozent einen Anstieg von Angriffen auf ihre VPN-Infrastruktur. Das Sicherheitsversprechen von VPN hält der Realität nicht stand.

    Was VPN tatsächlich leistet — und was nicht

    VPN verschlüsselt den Datenverkehr zwischen dem Endgerät und dem VPN-Gateway und verbirgt die IP-Adresse des Nutzers gegenüber dem Zielserver. Das schützt in unsicheren Netzwerken (öffentliches WLAN, Hotel, Flughafen) vor passivem Mitlesen und bestimmten Man-in-the-Middle-Angriffen.

    Was VPN nicht leistet:

    • Kein Schutz vor Phishing: VPN verschlüsselt den Transport, nicht den Inhalt. Wer Zugangsdaten auf einer Phishing-Seite eingibt, wird trotz VPN kompromittiert
    • Kein Schutz kompromittierter Endgeräte: Ist das Gerät eines Mitarbeiters mit Malware infiziert, tunnelt VPN den Schadverkehr direkt ins Unternehmensnetz
    • Kein Identitätsnachweis: VPN authentifiziert die Verbindung, nicht den Nutzer. Gestohlene VPN-Credentials gewähren vollen Netzwerkzugang
    • Keine granulare Zugriffskontrolle: Klassische VPNs gewähren nach erfolgreicher Verbindung Zugang zum gesamten Netzwerk — nicht nur zu den Ressourcen, die der Nutzer tatsächlich benötigt

    VPN-Schwachstellen als Angriffsvektor

    VPN-Appliances selbst sind hochwertige Ziele. Sie stehen per Definition am Netzwerkrand und sind aus dem Internet erreichbar. Kritische Schwachstellen in VPN-Produkten von Fortinet (CVE-2024-21762), Ivanti (CVE-2024-21887), Palo Alto Networks (CVE-2024-3400) und Cisco (CVE-2023-20269) wurden in den letzten Jahren aktiv ausgenutzt — teils als Zero-Days, bevor Patches verfügbar waren.

    Die CISA hat mehrfach Notfall-Direktiven zu VPN-Schwachstellen herausgegeben. VPN-Appliances gehören zu den am häufigsten in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommenen Produktkategorien.

    Zuverlässigkeitsprobleme auf mobilen Geräten

    Selbst die grundlegende Funktion — Verschlüsselung des gesamten Datenverkehrs — ist nicht garantiert. Mullvad dokumentierte im Oktober 2022, dass Android Connectivity-Check-Traffic am VPN vorbeileitet, selbst wenn die Option „VPN immer aktiv” und „Verbindungen ohne VPN blockieren” aktiviert ist. iOS hat ähnliche Probleme: Mysk-Forscher zeigten, dass Apple-Dienste VPN-Tunnel umgehen.

    Für Unternehmen bedeutet das: Selbst bei korrekt konfiguriertem VPN können sensible Metadaten das Gerät unverschlüsselt verlassen.

    Zero Trust als Alternative

    Der Zero-Trust-Ansatz löst die grundlegenden Architekturprobleme von VPN. Statt dem gesamten Netzwerk nach erfolgreicher VPN-Verbindung zu vertrauen, wird jeder Zugriff einzeln authentifiziert und autorisiert:

    • Identity-basierter Zugriff: Nicht das Netzwerk, sondern die Identität des Nutzers bestimmt, welche Ressourcen erreichbar sind
    • Device Compliance: Nur verwaltete, konforme Geräte erhalten Zugang — unabhängig vom Standort
    • Least Privilege: Zugriff wird granular gewährt — auf Anwendungsebene, nicht auf Netzwerkebene
    • Continuous Verification: Die Zugriffsberechtigung wird kontinuierlich überprüft, nicht nur zum Verbindungsaufbau

    Microsoft, Google und das NIST (SP 800-207) propagieren Zero Trust als Ablösung des perimeterbasierte Sicherheitsmodells, auf dem VPN basiert. Für Unternehmen, die noch nicht vollständig auf Zero Trust umstellen können, empfiehlt sich als Zwischenschritt: MFA für VPN-Zugänge verpflichtend machen, Netzwerksegmentierung implementieren und VPN-Appliances in das SIEM-Monitoring einbinden.

  • Cyberangriff auf Continental

    VonJuliane Heinen

    Im August 2022 kompromittierte die Ransomware-Gruppe LockBit die internen Systeme von Continental und exfiltrierte 40 Terabyte an Daten. Der Automobilzulieferer — ein DAX-Konzern mit über 190.000 Mitarbeitern — gab den Vorfall erst Wochen später öffentlich bekannt. Die Angreifer hatten sich nach aktuellem Kenntnisstand rund einen Monat lang unentdeckt im Netzwerk bewegt.

    Einfallstor: Ein nicht autorisierter Browser

    Laut einer internen Videobotschaft des IT-Leiters, über die das Handelsblatt im Dezember 2022 berichtete, erfolgte der initiale Zugang über einen Browser, den ein Mitarbeiter eigenständig heruntergeladen hatte. Ob der Browser bereits mit Malware infiziert war oder die Angreifer eine Schwachstelle in der Anwendung ausnutzten, blieb zum Zeitpunkt der Berichterstattung unklar.

    Der Angriffsvektor zeigt ein grundlegendes Problem: Unkontrollierte Software auf Endgeräten erweitert die Angriffsfläche unkontrolliert. Ein einzelner nicht autorisierter Browser reichte aus, um einem der professionellsten Ransomware-Akteure den Zugang zum Unternehmensnetz zu ermöglichen.

    LockBit: Professionelles Ransomware-as-a-Service

    LockBit war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service (RaaS): Affiliates führten die Angriffe durch, LockBit stellte die Infrastruktur (Verschlüsselungs-Tools, Leak-Site, Verhandlungs-Chat). Die Gruppe nutzte die Double-Extortion-Methode — Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

    Im Februar 2024 gelang internationalen Strafverfolgungsbehörden unter Führung der britischen NCA und des FBI die teilweise Zerschlagung von LockBit im Rahmen der Operation Cronos. Die Gruppe versuchte ein Comeback, operiert aber seitdem mit deutlich reduzierter Kapazität.

    40 Terabyte: Das Ausmaß des Datenabflusses

    Die exfiltrierten 40 Terabyte sind ein enormes Volumen — selbst für ein Unternehmen der Größe von Continental. Zum Vergleich: Das entspricht etwa 20 Millionen Seiten Text oder dem Inhalt von 8.000 DVDs. Ein Datenabfluss dieser Größenordnung über Wochen hinweg unentdeckt zu lassen, deutet auf fehlende Data Loss Prevention (DLP) und unzureichendes Netzwerk-Monitoring hin.

    Continental erklärte in einer FAQ auf der Unternehmenswebsite, dass der Vorfall untersucht werde und betroffene Stakeholder informiert würden. Details zu den exfiltrierten Daten — ob Kundendaten, technische Dokumentation, Geschäftsgeheimnisse oder Mitarbeiterdaten betroffen waren — blieben zunächst vage.

    Lehren aus dem Continental-Vorfall

    1. Application Whitelisting und Endpoint Hardening

    Mitarbeiter sollten keine nicht autorisierte Software installieren können. Application Whitelisting beschränkt die Ausführung auf explizit freigegebene Anwendungen. In Kombination mit dem Entzug lokaler Administratorrechte wird die Angriffsfläche auf Endgeräten erheblich reduziert.

    2. Patch-Management als kontinuierlicher Prozess

    Autorisierte Software muss zeitnah gepatcht werden. Ein zentrales Patch-Management-System stellt sicher, dass alle Endgeräte auf dem aktuellen Stand sind — ohne dass Mitarbeiter selbst aktiv werden müssen.

    3. Netzwerk-Monitoring und Anomalie-Erkennung

    40 Terabyte Datenexfiltration über Wochen erzeugt Netzwerk-Anomalien, die ein SIEM mit Baseline-Monitoring erkennen sollte: ungewöhnliche Datenvolumen zu externen IPs, Zugriffe auf unübliche Dateiserver, laterale Bewegung zwischen Netzwerksegmenten.

    4. Netzwerksegmentierung

    Wenn ein kompromittiertes Endgerät Zugriff auf 40 Terabyte Unternehmensdaten hat, ist die Netzwerksegmentierung unzureichend. Least-Privilege-Prinzipien müssen auf Netzwerkebene durchgesetzt werden — nicht nur auf Benutzerebene.

  • Was ist ein DDoS-Angriff?

    VonJuliane Heinen

    Dabei handelt es sich um einen verteilten Denial-of-Service-Angriff, der darauf abzielt, legitime Benutzer am Zugriff auf die Dienste des Opfers zu hindern. Angreifer, die sich als Benutzer ausgeben, senden so viele Anfragen an Server wie möglich. Dadurch verlangsamen sie die Server, verhindern Benutzeranfragen und zwingen die Server manchmal zu einem Neustart.

    Die meisten dieser Angriffe werden von so genannten Botnetzen aus durchgeführt. Dabei handelt es sich um mit Malware infizierte Geräte, die die Anweisungen der Hacker ausführen. Solche Geräte werden als Bots oder Zombies bezeichnet. Dabei kann es sich sowohl um gewöhnliche Computer als auch um IoT- und andere mit dem Netz verbundene Geräte handeln.

    Das Ausmaß eines DDoS-Angriffs kann enorm sein. Im Jahr 2017 wurde die Google Cloud mit einem Spitzenverkehrsvolumen von 2,54 Terabyte pro Sekunde angegriffen. Das ist fast doppelt so viel wie der gesamte weltweite Internetverkehr in einer Stunde im Jahr 1999.

    Welche Probleme verursacht ein verteilter Denial-of-Service-Angriff?

    Das Hauptziel eines DDoS-Angriffs ist es, dem Unternehmen finanzielle Verluste zuzufügen. Vor allem durch Gewinneinbußen, weil die Dienstleistungen des Unternehmens für die Kunden nicht mehr verfügbar sind oder der Zugang zu ihnen erheblich erschwert wird. Oder das Unternehmen wird gezwungen, die Informationsinfrastruktur zu erweitern, ohne dass dies wirklich notwendig ist, sondern nur, um die Geschäftsleitung durch eine Erhöhung des Datenverkehrs zu täuschen. Dabei handelt es sich eigentlich um einen DDoS-Angriff, allerdings ohne scharfe Spitzen, so dass er schwer zu erkennen ist.

    Ein anderes gefährliches Ziel kann als “Deckung” für einen weiteren Angriff dienen. Auf diese Weise können Hacker die Verteidigung dazu zwingen, alle Anstrengungen und Aufmerksamkeit auf die Bewältigung des DDoS-Angriffs zu richten und einen weiteren Angriff zu verpassen. Oder bringen Sie das Opfer dazu, seltsames Verhalten eines Servers, einer Website, einer Datenbank usw. mit einem verteilten Denial-of-Service-Angriff hervorzubringen. Gleichzeitig wird der Möglichkeit eines weiteren Anschlags häufig nicht genügend Aufmerksamkeit geschenkt.

    Wie erkennt man einen DDoS-Angriff?

    Einen DDoS-Angriff kann man erkennen durch:

    • Ein starker Anstieg des Verkehrsaufkommens, sowohl auf einzelnen Seiten als auch auf der Website insgesamt.
    • Identisches Verhalten von “Nutzern” oder ähnlichen Standorten, Browsern, Geräten usw.
    • Verkehrsüberlastung zu bestimmten Zeiten (17:00 Uhr) oder mit einem bestimmten Wiederholungsintervall (alle 10 Minuten).
    • ungewöhnliche Anfragen an den Server.

    Es ist jedoch nach wie vor schwierig zu erkennen, wo sich der Bot und wo sich der rechtmäßige Benutzer befindet, da die so genannten “Zombies” selbst Benutzergeräte sind. Manchmal sind die Angriffe recht einfach und leicht zu filtern. Und manchmal können sie recht anspruchsvoll sein und eine tiefere Analyse erfordern. Wie bei anderen Arten von Angriffen lässt sich leider auch die Entstehung von Denial-of-Service als Dienst nachvollziehen. Unter dem Deckmantel der Erbringung von Testdiensten bietet dies sogar Personen, die weit vom Hacken entfernt sind, die Möglichkeit, leistungsstarke DDoS-Angriffe durchzuführen.

    Wenn Sie hingegen ein neues Produkt auf den Markt bringen, kann es sein, dass die Website einen großen Nutzeransturm erlebt. Und niemand will Angreifern helfen, indem er legitime Nutzer mit seinen eigenen Händen abweist. Werbeaktionen und Sonderangebote können auch dazu führen, dass Menschen ein “seltsames” Verhalten an den Tag legen, indem sie die Seite regelmäßig aktualisieren oder die Website zu bestimmten Zeiten besuchen. Daher ist es nicht zielführend, sich bei der Verkehrsfilterung nur auf solche Indikatoren zu verlassen. Wie immer ist hier ein umfassender Ansatz erforderlich.

    Brauchen wir wirklich einen Schutz und wie kann dieser aussehen

    DDoS ist ein gängiger Angriff, der erhebliche finanzielle Verluste verursachen kann. Oder Sie erhöhen Ihre Kosten für die digitale Infrastruktur erheblich, indem Sie vorgeben, den Verkehr zu erhöhen. Eine auch nur kurzzeitige Nichtverfügbarkeit von Dienstleistungen kann dazu führen, dass einige Kunden für immer verloren gehen.

    Wie bereits erwähnt, sind Verhaltensfaktoren einer der wichtigsten,aber nicht sehr zuverlässigen Indikatoren. Die Hauptaufgabe des Schutzes in dieser Situation wird darin bestehen, keinen Schaden anzurichten. Es ist absolut inakzeptabel, legitimen Kunden den Zugang zu diesem Dienst zu verwehren. Eine manuelle Filterung des Datenverkehrs und die Beurteilung seiner Rechtmäßigkeit ist ebenfalls absolut unmöglich.

    Angriffe werden von der Firewall automatisch erkannt und führen nicht zur Unterbrechung der Client-Verbindung, sondern verlangsamen nur die Antwort des Servers. Und zwar so, dass es für die Kunden fast nicht wahrnehmbar ist, aber den Angriff zunichte macht. Außerdem werden einige IP-Adressen, bei denen es sich offensichtlich um Bots handelt, für einen wirksameren Schutz vollständig gesperrt.

    Komplexere Angriffe werden durch die Art der Anfrage bestimmt und am Server “vorbeigeschickt” , um den Aufruf spezieller Anfragen zu verhindern, die den Server belasten, aber von legitimen Clients nicht aufgerufen werden können.

    Wir bieten Lösungen für einen permanenten automatischen Schutz zum Blockieren und Entschärfen von DDoS-Angriffen. Außerdem erhalten Sie Unterstützung bei der tieferen Analyse von Angriffen und der Verbesserung des Schutzes je nach Bedarf. Wir bewerten die Sicherheit umfassend und lassen Angreifern keinen Raum für Manöver.

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse