Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Nach Sicherheitsvorfall: Unfallkasse Thüringen setzt IT-Systeme wiederholt neu auf
Jarhead91
Ensign
- Registriert
- Juni 2008
- Beiträge
- 252
Gerne! Aber halt nicht von unserer Datenautobahn-Neuland-Politikern. Gerne hier mal ne anständige alternative, unabhängige Instanz aufbauen. Ach warte, wir haben ja den CCC aber das sind ja nur spinner...andy_m4 schrieb:Wenn es gesetzliche Regelungen gibt, müssen sich alle dran halten und der Frickel-Bonus fällt weg
Red_Bull
Lieutenant
- Registriert
- März 2005
- Beiträge
- 592
ich korrigiere die deutschen behörden können keine itMaster_Chief_87 schrieb:Die deutschen können einfach keine IT. So einfach ist das. 😅
FreddyMercury
Rear Admiral
- Registriert
- Dez. 2002
- Beiträge
- 5.408
Man muss nur mal auf den Hacker Paragraphen weisen. Das sagt doch schon alles.Red_Bull schrieb:deutschen behörden können keine it
Du scheinst fälschlicherweise die öffne-EXE-Ransomwareangriffe gegen 0815-HomeUser mit Ransomware-Angriffen gegen Unternehmen mit dem Ziel einer Double-Extortion in einen Topf zu werfen.andy_m4 schrieb:Es ging mir um eine grundsätzliche Einstellung zum Thema Sicherheit. Und ich sag mal so: Wenn ne Ransomware durch kommt, dann kanns damit nicht weit her sein. Wir reden ja hier nicht über ein völlig neues Bedrohungsszenario von dem man nichts wissen konnte oder so. Das ist eher was, was gängig ist und von dem selbst Laien zumindest schon mal gehört haben.
Diese sind deutlich ausgefeilter. Oft ist der Angreifer schon über Monate im Netzwerk und versucht sich dann unentdeckt lateral weiter zu bewegen bzw. höherwertige Zugangsdaten zu ergaunern oder intern erreichbare 0-Days oder Lücken auszunutzen. Das ist nötig, um die eigentlich wichtigen Systeme anzugreifen (Backupsysteme, IDM-Systeme usw), auf welche der erstkompromittierte User meistens gar nicht direkt zugreifen kann. Es ist für gezielte Angreifer über lange Zeit immer möglich, irgendwo im Netz Fuß zu fassen, da es immer irgendwo Sicherheitslücken gibt und/oder einen Anwenderfehler durch gutes Social Engineering (Mails die vom Absender her vom Kollegen kommen und einen plausiblen Text enthalten).
Ein gutes Red Team kommt in jedes Netz rein. Wenn du Glück hast, hast du sie gebucht und der Sicherheitsdienstleister zeigt dir somit die Angriffsvektoren auf. Die nächsten (unerwünschten) Angreifer haben es dann schon wieder schwerer. Da sicherere Umgebungen aufwändiger sind und damit mehr Geld kosten, fallen immer zuerst die schwachen, wo (meist von oben) gespart wurde.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Mag ja so sein.Atkatla schrieb:Diese sind deutlich ausgefeilter.
Ist halt die Frage, wie die da rein kommen. Klar. Wenn die einmal den Fuß in der Tür haben, dann ist natürlich Alles möglich.Atkatla schrieb:Oft ist der Angreifer schon über Monate im Netzwerk und versucht sich dann unentdeckt lateral weiter zu bewegen bzw. höherwertige Zugangsdaten zu ergaunern
Man muss aber dazu sagen, das solche Fälle wo dann auch eine Firma gezielt mit raffinierten Mitteln angegriffen wird zwar vorkommt, aber die überwältigende Mehrheit der Fälle in die Kategorie "Mail mit Anhang" etc. fällt. Auch das zero-days in der Praxis ausgenutzt werden ist vergleichsweise selten. Denn die sind nicht wirklich sooo häufig und jeder Einsatz bedingt auch immer, das die zero-day-Lücke bekannt wird und durch entsprechende Gegenmaßnahmen einfach ihre Wirksamkeit verliert. Angriffe auf Zero-Day-Lücken werden also eher mit bedacht eingesetzt. Das ist auch nicht das, was irgendwie massenhaft vorkommt.
Vielfach besteht aber schon keine wirksame Verteidigung gegen diese normalen Feld, Wald und Wiesen-Angriffe. Und das ist doch der Punkt. Das man häufig nicht mal dagegen eine wirksame Verteidigung hat.
Ich hab das ja schon mal anhand meines Bauvorschriften-Beispiels verdeutlicht. Klar. Man kann sich auch in einem Haus was alle Vorschriften vorbildlich umsetzt was tun. Aber das Risiko in einem Schrotthaus ist halt sehr viel höher. Und wir haben in der IT viel zu viele Schrotthäuser und dann wundert man sich, wenn die beim kleinsten Windstoß in sich zusammenbrechen.
Das ist doch der Punkt, um den es mir geht.
Klar ist das so. Daher wäre es ja vielleicht nicht verkehrt verbindliche regeln zu haben. Das man Sicherheit nicht mehr so einfach wegsparen kann. Wie gesagt. In anderen Lebensbereichen haben wir das ja auch. Gibt ja keinen Grund das bei IT nicht zu haben. Wenn sich durch schlechte IT-Sicherheit eine Firma in den Ruin treibt, dann ist das ja eine Sache. Da könnte man ja auch noch sagen: "Ihr seid das Risiko eingegangen und seit damit baden gegangen. Pech gehabt". Aber insbesondere wenn andere mit reingezogen werden, weil da z.B. Kundendaten gespeichert sind, dann zieht das Argument halt auch nicht mehr.Atkatla schrieb:Da sicherere Umgebungen aufwändiger sind und damit mehr Geld kosten, fallen immer zuerst die schwachen, wo (meist von oben) gespart wurde.
Nein, wenn so eine Malware auf einem Userrechner geöffnet wird, kann der kompromittierte Rechner immer noch nicht die Systeme angreifen, die er nicht erreichen kann oder wo er keine Auth-Möglichkeit- oder -daten hat. Das "aber" und die Unterteilung in deinem Satz ist falsch, denn es sind nicht zwei verschiedene Typen von Angriffen, sondern zwei Stufen desselben Schemas, dass oft lediglich auf verschiedene Akteure aufgeteilt wird, die damit Geld verdienen wollen.andy_m4 schrieb:Man muss aber dazu sagen, das solche Fälle wo dann auch eine Firma gezielt mit raffinierten Mitteln angegriffen wird zwar vorkommt, aber die überwältigende Mehrheit der Fälle in die Kategorie "Mail mit Anhang" etc. fällt.
Die erste Phase ist die Erbeutung von Zugangsdaten durch Spear-Phishing, Malware, Social Engineering usw. oder das Exploiten von Lücken durch Botnetze. Das wird flächenmäßig gemacht, irgendwo findet sich immer was.
Die erbeuteten Zugangsdaten werden dann (billig) massenweise weiterverkauft an Gruppierungen, die dann diese Zugangsdaten nutzen, um dann das Netzwerk zu erkunden und sich weiterzubewegen und in einen erpressbaren Zustand zu bringen (d.h. zuerst unentdeckt Daten abziehen, dann Backups sabotieren und dann letztlich die Produktivsysteme.) Dies ist ein höherer Aufwand, der nur deswegen gemacht wird, um dann idealerweise zweimal zu erpressen (für die Entschlüsselung und dann später nochmal damit man die Daten nicht leakt.).
D.h. die Mail mit Anhang ist oft ein Anfangsvektor, aber für eine erfolgreiche Sabotage benötigst du weitere Maßnahmen. Das eine ist ohne das andere nicht möglich.
(Ich meine explizit nicht die Erpressung von Privatpersonen, wo zu Hause mal der Rechner verschlüsselt wird. Dort reicht so eine Mail.)
Renegade334
Lt. Commander
- Registriert
- Okt. 2016
- Beiträge
- 1.481
Das schlimme ist, dass quasi jedes AD ein Upgrade einer uralten Umgebung ist und dadurch einige Sicherheitseinstellungen nie geändert wurden. Man kann ein AD stark absichern, aber in Firmen habe ich das bisher fast nie gesehen.Thomaswww schrieb:Bestimmt die Traum Kombi Windows + AD + Office. Wie wird neu aufgesetzt? Genau! Wieder mit Windows + AD + Office.
Im Gegenteil werden meist noch Datenbanken und Druckserver auf Domänencontrollern installiert, damit man auch bei jeder Sicherheitslücke Angreifern Zugriff auf die komplette Domäne ermöglicht. Alte Standards bleiben aktiv, da keiner Zeit dafür bekommt die Systeme zu härten, Best Practices werden ignoriert, es gibt einen Hauptadmin für alles der auch auf jedem System genutzt wird, gleichem Kennwort für lokale Admins, Schreibzugriff für Backupuser, usw.
Da kann man schon froh sein, wenn der alleinige Hauptadmin, den jeder 3. in der Firma kennt und als lokalen Admin nutzt, nicht als Kennwort F1rm3nn4m3 hat.
Da braucht man nicht immer auf Microsoft schimpfen. Identitätsverwaltung und Verzeichnisdienste sind zentrale Themen die einiges an Fachkenntnis erfordern, aber oft von irgendjemand nebenbei eingerichtet werden. Das ist als würde man einen Datenbankadmin die Netzwerkplanung machen lassen. Es wird funktionieren, aber garantiert nicht ideal konfiguriert sein.
Eine ordentliche Umgebung mit personalisierten und aufgabenbezogenen Admins, zertifikatbasierter Anmeldung für privilegierte Accounts, Berechtigung nach 4-Augen Prinzip, Abschaltung von NTLM, Einschränkung auf bestimmte Administrationscomputer, Netztrennung, Alarm bei verdächtigen Anmeldemustern und gehärteten Richtlinien findet man sehr sehr selten.
- Registriert
- Okt. 2015
- Beiträge
- 269
Artikel-Update: Wie Günter Born in seinem IT- und Windows-Blog berichtet, gibt es inzwischen Hinweise darauf, dass die Ransomwaregruppe RA Group für den Sicherheitsvorfall bei der Unfallkasse Thüringen verantwortlich ist. Auf X hat ein Nutzer einen entsprechenden Screenshot von der Datenleckseite der Hackergruppe geteilt.
Die RA Group behauptet dort, insgesamt 45 GB an Daten von der UKT abgegriffen zu haben, bestehend aus Kundendaten, Versicherungsverträgen, Schadensverläufen und anderen Dateien. Als Beweis haben die Angreifer einen Download-Link zu einer Stichprobe bereitgestellt. Der vollständige Datensatz soll am 31. Dezember 2023 veröffentlicht werden, sofern die UKT den Forderungen der RA Group nicht nachkommt. Eine genaue Lösegeldsumme wird nicht genannt.
Die Datenleckseite der RA Group wurde einem von Cisco Talos im Mai veröffentlichten Bericht zufolge am 22. April 2023 ins Leben gerufen. Es handelt sich also um einen recht jungen Bedrohungsakteur, der es anfangs vor allem auf Ziele in den USA und Südkorea abgesehen hatte. Deutsche Organisationen gehören aber offenkundig inzwischen auch zu den Zielen der Ransomwaregruppe.
[Embed: Zum Betrachten bitte den Artikel aufrufen.]
Die RA Group behauptet dort, insgesamt 45 GB an Daten von der UKT abgegriffen zu haben, bestehend aus Kundendaten, Versicherungsverträgen, Schadensverläufen und anderen Dateien. Als Beweis haben die Angreifer einen Download-Link zu einer Stichprobe bereitgestellt. Der vollständige Datensatz soll am 31. Dezember 2023 veröffentlicht werden, sofern die UKT den Forderungen der RA Group nicht nachkommt. Eine genaue Lösegeldsumme wird nicht genannt.
Die Datenleckseite der RA Group wurde einem von Cisco Talos im Mai veröffentlichten Bericht zufolge am 22. April 2023 ins Leben gerufen. Es handelt sich also um einen recht jungen Bedrohungsakteur, der es anfangs vor allem auf Ziele in den USA und Südkorea abgesehen hatte. Deutsche Organisationen gehören aber offenkundig inzwischen auch zu den Zielen der Ransomwaregruppe.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Immerhin kann er alles machen, was der User machen kann. Das ist ja oftmals schon schlimm genug.Atkatla schrieb:Nein, wenn so eine Malware auf einem Userrechner geöffnet wird, kann der kompromittierte Rechner immer noch nicht die Systeme angreifen
Aber selbst wenn man es nur als ersten Schritt sieht: Auch das ist problematisch genug.
Was willst Du mir mit Deinem Posting sagen? Das eMail-Anhänge egal sind, weil das allein reicht ja nicht. Oder was?
Ich kann Dir da gerade nicht ganz folgen.
Mein Punkt sind ja auch nicht eMail-Anhänge. Das war jetzt nur mal so ein Beispiel. Mein Punkt ist: Haben wir in der Fläche eine IT-Landschaft, wo Security konzeptionell nicht gut verankert ist. So ne Baseline-Security. Und ja. Manche Unternehmen kriegen das hin. Bei ganz vielen sieht es aber eher mau aus. Bis runter zu das Mail reicht. Oder meinst Du, der kleine Handwerksbetrieb um die Ecke hat da irgendwelche Gegenmaßnahmen die über ne AV-Software großartig hinaus geht? Du erzählst die ganze Zeit Sachen aber die haben mit der Realität nicht viel gemeinsam.
Und nochmal: Klar gibt es Unternehmen die Security gut hinkriegen. Aber wenn man mal über alle so rüber guckt, dann sieht die Sache nicht wirklich gut aus.
Du willst mir doch jetzt hier nicht ernsthaft erzählen, das alle erfolgreichen Angriffe auf Firmen (und die allgemein bekannten gewordenen ist ja nur die Spitze des Eisberges; die Dunkelziffer dürfte deutlich drüber liegen) das Ergebnis eines ausgeklügeltes Angriffsplans sind.
Zuletzt bearbeitet:
Die Wahrheit darüber könnte die Bevölkerung verunsichern!andy_m4 schrieb:Du willst mir doch jetzt hier nicht ernsthaft erzählen, das alle erfolgreichen Angriffe auf Firmen (...) das Ergebnis eines ausgeklügeltes Angriffsplans sind.
Deswegen fängt die Story ja auch immer wieder gleich an:
1) Hacker mit höchstkrimineller Energie haben einen niederträchtigen Cyberangriff auf uns verübt.
2) Wir nehmen Datenschutz sehr ernst. Der Schutz Ihrer Daten hat oberste Priorität.
3) Wir haben hochprofessionelle Experten (Forensiker) und die Ermittlungsbehörden eingeschaltet.
und so weiter uns so fort...
Simanova
Rear Admiral
- Registriert
- Dez. 2012
- Beiträge
- 5.255
Hey die Arbeiten an Silvester, dürfen die das?coffee4free schrieb:Der vollständige Datensatz soll am 31. Dezember 2023 veröffentlicht werden
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Du hast vergessen zu erwähnen, das man mit Hochdruck an einer Lösung arbeitet. :-)Zer0DEV schrieb:und so weiter uns so fort...
Drakrochma
Lt. Commander
- Registriert
- Dez. 2018
- Beiträge
- 1.204
Vielleicht brauchen wir eine staatliche Hackertruppe und Firmen, die durch miese Sicherheitssysteme auffallen müssen x% vom Bruttoumsatz in Sicherheit investieren und dürfen für x Jahre keine Dividende auszahlen.
Dann wäre Geld da und die Aktionäre hätten ein Interesse an Sicherheit...
Dann wäre Geld da und die Aktionäre hätten ein Interesse an Sicherheit...
Twisterstift
Banned
- Registriert
- Feb. 2014
- Beiträge
- 265
Genau so ein Fall wäre etwas für das Quick Freez Verfahren. Da wir jedoch ein Land der Meckerer, Vermeider alles gegen alles und Verschwörungstheoretiker sind ( also ein AFD Volk) haben Geldwäscher, Internetkriminelle und Pädophile leichtes Spiel in unserem Land. WIr belegen sogar die Top4 der Internetkrimminalität Weltweit.
Deutschland ist also doch Spitzenreiter was IT angeht, nur im negativen.
https://de.statista.com/statistik/d...-opfer-von-cybercrime-nach-laendern-weltweit/
D.H. die Schuld immer nur bei der IT zu suchen ist aus meiner Sicht sehr kurzsichtig und zu einfach. Die Verantwortung liegt in erster Linie beim Staat und damit die geeigneten Mittel Intervention/Prävention zu etablieren womit die IT dann arbeiten kann. ALs Zweites ist jedes Unternehmen selbst verantwortlich, sich zu schützen. Der Handwerker kann auch nur so gut sein, wie das Material was ihm zur Verfügung gestellt wird.
Deutschland ist also doch Spitzenreiter was IT angeht, nur im negativen.
https://de.statista.com/statistik/d...-opfer-von-cybercrime-nach-laendern-weltweit/
D.H. die Schuld immer nur bei der IT zu suchen ist aus meiner Sicht sehr kurzsichtig und zu einfach. Die Verantwortung liegt in erster Linie beim Staat und damit die geeigneten Mittel Intervention/Prävention zu etablieren womit die IT dann arbeiten kann. ALs Zweites ist jedes Unternehmen selbst verantwortlich, sich zu schützen. Der Handwerker kann auch nur so gut sein, wie das Material was ihm zur Verfügung gestellt wird.
Zuletzt bearbeitet:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.178
@Twisterstift
Was soll QuickFreeze bringen an der Stelle? Externe Zugriffe schlagen sowieso mit der externen IP im Klartext beim Betroffenem auf. Das steht im Log bzw. wenn der Router kompromittiert ist, bekommt das die Forensik in der Regel mit. Man findet in der Regel so oder so nur einen Proxy, kann gegen den evtl. was tun. Danach hat es sich aber erschöpft. Der Mehrwert von Quickfreeze und Vorratsdatenspeicherung ist gleich Null.
Einzig wo solch Überwachungslösungen helfen ist bei IT-fernem Hans Müller um Beleidigungen im Netz, Urheberrechtsverletzungen und Ähnliches (leichter) verfolgen zu können.
Und der Staat, was soll der Staat gegen Pfusch bitte tun? Die aktuellen Lösungen sehen so aus: Im Straßenverkehr hat das Fahrzeug welches die Infrastruktur nutzt in gescheitem Zustand zu sein und die Fahrer·innen haben sich an die Regeln zu halten. Der Staat setzt dies durch. Die Aufgabe des Staates ist nicht, derart Infrastruktur zu betreiben, dass nicht verkehrstüchtige Fahrzeuge wie Fahrer·innen diese ohne Gefährdung für sich und Dritte unter Missachtung aller Anforderungen/Regeln nutzen können.
Oder anders, dein Vorschlag ist total daneben und fern jeder sonstigen Regelung.
Und selbst der Vergleich mit Handerwerkern bzw. Handwerksbetriebe. Die kaufen entweder ihr Material selber, und sind selbst dran Schuld, wenn sie Mist kaufen. Zudem sind sie in der Haftung, wenn ihre Arbeitumgebung und Arbeitsleistung so beschissen ist, dass Andere zu Schaden kommen.
Und Fehler melden und dafür gesetzlichen Finderlohn bekommen. Das würde den Arbeitsmarkt an der Stelle arg durcheinander würfeln, ich wäre aber dafür . Das Problem ist nur, dass derzeit die Regelung tendenziell so ist, dass das Fordern von Vorteilen beim Finden von Sicherheitslücken in die Richtung Erpressung geht. Zudem an der Stelle dann auch der Hackerparagraph problematisch wird, weil der Hack dann nicht mehr selbstlos, sondern zum eigenem Vorteil erfolgt. Was mir aber durchaus sinnvoll erscheint, so wildes Glücksrittertum alla: Gib mir Geld, oder die Lücke landet sofort auf "full disclosure" wäre auch schlecht.
Verpflichtende BugBunties für Software und IT-Dienstleistungen die >=50.000 Clients und/oder nat. Personen betrifft, wäre aber schon nett. Je 1.000€ für den Nachweis, dass BSI Empfehlungen unterschritten wurden werden, oder 2€ je betroffenem Client/Nutzer, jenachdem was höher liegt. Nachgewiesene Möglichkeiten zum Datenabfluss, ab 5.000€ ansonsten 10€ je Datensatz, betroffenem Client/Person, je nachdem was höher liegt...[1]
[1] Problematisch wird dann wirklich der IT-Markt für ITsecler·innen, die gehen alle in die Frührente -.-
Was soll QuickFreeze bringen an der Stelle? Externe Zugriffe schlagen sowieso mit der externen IP im Klartext beim Betroffenem auf. Das steht im Log bzw. wenn der Router kompromittiert ist, bekommt das die Forensik in der Regel mit. Man findet in der Regel so oder so nur einen Proxy, kann gegen den evtl. was tun. Danach hat es sich aber erschöpft. Der Mehrwert von Quickfreeze und Vorratsdatenspeicherung ist gleich Null.
Einzig wo solch Überwachungslösungen helfen ist bei IT-fernem Hans Müller um Beleidigungen im Netz, Urheberrechtsverletzungen und Ähnliches (leichter) verfolgen zu können.
Und der Staat, was soll der Staat gegen Pfusch bitte tun? Die aktuellen Lösungen sehen so aus: Im Straßenverkehr hat das Fahrzeug welches die Infrastruktur nutzt in gescheitem Zustand zu sein und die Fahrer·innen haben sich an die Regeln zu halten. Der Staat setzt dies durch. Die Aufgabe des Staates ist nicht, derart Infrastruktur zu betreiben, dass nicht verkehrstüchtige Fahrzeuge wie Fahrer·innen diese ohne Gefährdung für sich und Dritte unter Missachtung aller Anforderungen/Regeln nutzen können.
Oder anders, dein Vorschlag ist total daneben und fern jeder sonstigen Regelung.
Und selbst der Vergleich mit Handerwerkern bzw. Handwerksbetriebe. Die kaufen entweder ihr Material selber, und sind selbst dran Schuld, wenn sie Mist kaufen. Zudem sind sie in der Haftung, wenn ihre Arbeitumgebung und Arbeitsleistung so beschissen ist, dass Andere zu Schaden kommen.
Ergänzung ()
Das gibt es mehr oder weniger schon. Das BSI scannt durchaus automatisiert und nimmt Kontakt auf. Bei den Schlafmützen ändert das wenig, und bei denen wo die IT gut aufgestellt ist kommen dennoch Mails an, weil die Scans nicht sooo ausgereift sind.Drakrochma schrieb:Vielleicht brauchen wir eine staatliche Hackertruppe und Firmen, die durch miese Sicherheitssysteme auffallen müssen x% vom Bruttoumsatz in Sicherheit investieren und dürfen für x Jahre keine Dividende auszahlen.
Dann wäre Geld da und die Aktionäre hätten ein Interesse an Sicherheit...
Und Fehler melden und dafür gesetzlichen Finderlohn bekommen. Das würde den Arbeitsmarkt an der Stelle arg durcheinander würfeln, ich wäre aber dafür . Das Problem ist nur, dass derzeit die Regelung tendenziell so ist, dass das Fordern von Vorteilen beim Finden von Sicherheitslücken in die Richtung Erpressung geht. Zudem an der Stelle dann auch der Hackerparagraph problematisch wird, weil der Hack dann nicht mehr selbstlos, sondern zum eigenem Vorteil erfolgt. Was mir aber durchaus sinnvoll erscheint, so wildes Glücksrittertum alla: Gib mir Geld, oder die Lücke landet sofort auf "full disclosure" wäre auch schlecht.
Verpflichtende BugBunties für Software und IT-Dienstleistungen die >=50.000 Clients und/oder nat. Personen betrifft, wäre aber schon nett. Je 1.000€ für den Nachweis, dass BSI Empfehlungen unterschritten wurden werden, oder 2€ je betroffenem Client/Nutzer, jenachdem was höher liegt. Nachgewiesene Möglichkeiten zum Datenabfluss, ab 5.000€ ansonsten 10€ je Datensatz, betroffenem Client/Person, je nachdem was höher liegt...[1]
[1] Problematisch wird dann wirklich der IT-Markt für ITsecler·innen, die gehen alle in die Frührente -.-
Zuletzt bearbeitet:
deinDadseinFrau
Lt. Junior Grade
- Registriert
- Nov. 2008
- Beiträge
- 270
Als Poweruser oder Admin fragt man sich ja häufig wie Phishingemails überhaupt zu Erfolg führen können. Da dürfte ja niemand drauf reinfallen aber sobald es irgendwas umsonst gibt, schaltet sich beim Normaluser irgendwie einfach das Hirn aus.
Bei uns wurde gerade eine Sensibilisierungskampagne durchgeführt und eine einigermaßen gut gemachten Phishingmail, in der mit Büromaterialen einer internen Abteilung zur kostenlosen Abgabe geworben wurde, versendet. Die Email kam von extern, was auch ganz klar ersichtlich war, denn eine Exchangeregel fügt einen nicht zu übersehenden Hinweisbanner in externe Emails ein. Von 650 Usern haben innerhalb von ein paar Minuten über 100 User den Link geöffnet und rund 40 User haben in der verlinkten Webseite ihre Zugangsdaten eingegeben.
Bei uns wurde gerade eine Sensibilisierungskampagne durchgeführt und eine einigermaßen gut gemachten Phishingmail, in der mit Büromaterialen einer internen Abteilung zur kostenlosen Abgabe geworben wurde, versendet. Die Email kam von extern, was auch ganz klar ersichtlich war, denn eine Exchangeregel fügt einen nicht zu übersehenden Hinweisbanner in externe Emails ein. Von 650 Usern haben innerhalb von ein paar Minuten über 100 User den Link geöffnet und rund 40 User haben in der verlinkten Webseite ihre Zugangsdaten eingegeben.
Ich will damit sagen, dass der kompromitterende eMail-Anhang und das damit kompromittierte Endgerät eben nicht die ganze Geschichte sind, sondern dass dann auf Angreiferseite noch weit mehr zu tun ist, als das Endgerät in Besitz zu nehmen. Ja, der Angreifer kann alles machen, was der User machen kann. Das ist meistens eben nicht schlimm genug (für die Angreiferseite), denn der normale User hat eben z.B. keinen Zugriff auf die Managementschnittstellen der Speichersysteme um dort alle Volumes und Snapshots zu löschen oder auf die Backupsysteme oder auf die Adminaccounts der Identitäts- und Rechteverwaltung. Klar könnte man als Angreifer jetzt das Userverzeichnis oder vielleicht auch Gruppenverzeichnisse löschen/verschlüsseln, auf die der User Zugriff hat, aber damit würde man sich verraten, bevor man an die wirklichen wichtigen Daten gekommen ist.andy_m4 schrieb:Immerhin kann er alles machen, was der User machen kann. Das ist ja oftmals schon schlimm genug.
Was willst Du mir mit Deinem Posting sagen? Das eMail-Anhänge egal sind, weil das allein reicht ja nicht. Oder was?
Ich kann Dir da gerade nicht ganz folgen.
Nein, die Angreiferseite weiss doch vorher auch nicht, wie weit sie mit den initialen Angriffspunkten kommt. Ich schreib doch, dass man dann teilweise über Monate im Zielnetz lungert und dort dann nach weiteren Schwachstellen schaut oder ob z.B. jemand interessantere Zugangsdaten an einem kompromittierten Rechner ausliefert.Du willst mir doch jetzt hier nicht ernsthaft erzählen, das alle erfolgreichen Angriffe auf Firmen (...) das Ergebnis eines ausgeklügeltes Angriffsplans sind.
Ziel ist, möglichst viel Schaden anzurichten und Daten zu erhalten um Geld zu erpressen. Zuviele Opferfirmen zahlen, damit ist das Geschäft leider schon seit langem lukrativ geworden.
https://www.heise.de/news/Warum-Cyb...er-hoehere-Loesegelder-erpressen-6121767.html
(Ab Abschnitt "Großwildjagd")
Die Sachen die ich schreibe, sind aus der Praxis für jede größere IT-Umgebung. Ein Handwerksbetrieb, der sich selbst IT-mäßig betreibt, hat damit eher wenig zu tun. Die arbeiten oft McGyver-Style.
Das einzig gute an der Sache ist, dass die Bewältigung der Schäden oft dazu führt, dass die Führungsebenen der getroffenen Unternehmen die Thematik endlich ernster nehmen. Vorher hat Sicherheit in deren Augen oft ja "nur Geld gekostet". Jetzt merken sie, dass das Aufräumen und Wiederaufbauen noch mehr Geld kostet.
Zuletzt bearbeitet:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.178
Nutzer·innen wird mit allerhand Antipattern angelernt, dass Banner scheiße sind.deinDadseinFrau schrieb:Als Poweruser oder Admin fragt man sich ja häufig wie Phishingemails überhaupt zu Erfolg führen können. [...]
Bei uns wurde gerade eine Sensibilisierungskampagne durchgeführt[...].
Die Email kam von extern, was auch ganz klar ersichtlich war, denn eine Exchangeregel fügt einen nicht zu übersehenden Hinweisbanner in externe Emails ein. Von 650 Usern haben innerhalb von ein paar Minuten über 100 User den Link geöffnet und rund 40 User haben in der verlinkten Webseite ihre Zugangsdaten eingegeben.
- Werbung (im Web, im Windows, Android, ..)
- Cokkiebanner
- Statusmeldungen
- Irgendwelche Nonsensemeldungen von Programmen die als Nutzer eh nur wegklickbar sind
- Securitymeldungen, die nicht verstanden werden und zu allem Übel beim Bearbeiten der aktuellen Aufgabe stören (Office Makros, Exchange..)
- Generell UIs aus der Hölle (SAP, Exchange, ..)
Das kann man dann natürlich den Nutzer·innen ankreiden, ist Imho aber realitätsfern. Denn real gibt keine Firma den Angestellten wirklich in der notwendigen Güte mit der notwendigen Zeit entsprechende Schulungen (die 1..2h Frontalbelehrung mit dem Zeigefinger sind witzlos), noch im Arbeitsalltag genügend Zeit um es sich leisten zu können bei fischigem Sachen ausreichend gut zu kontrollieren etc. pp.
Das gehört einfach im Prozess fixiert, dass Phishing nicht funktionieren kann. PW-Manager + 2. Faktor und im PW-Manager entsprechend harte Regeln, welche Logins wo genutzt werden können.
FreddyMercury
Rear Admiral
- Registriert
- Dez. 2002
- Beiträge
- 5.408
In Privaten Firmen vielleicht, allerdings nicht bei Behoerden. Ist ja nicht der Erste Vorfall den man hat. Man hat also nichts dazu gelernt und den ihr eigenes Geld wird ja auch nicht Verbrannt. Das zahlt dann der Steuerzahler.Atkatla schrieb:Das einzig gute an der Sache ist, dass die Bewältigung der Schäden oft dazu führt, dass die Führungsebenen der getroffenen Unternehmen die Thematik endlich ernster nehmen. Vorher hat Sicherheit in deren Augen oft ja "nur Geld gekostet". Jetzt merken sie, dass das Aufräumen und Wiederaufbauen noch mehr Geld kostet.
Ähnliche Themen
- Antworten
- 63
- Aufrufe
- 6.619