Die letzte Lieferung

Prolog

Die „Nordversand GmbH“ war ein Großhändler mit einem Ruf für Zuverlässigkeit. Von ihrem Standort am Rand von Stuttgart aus belieferte sie Kunden in ganz Europa mit technischen Komponenten, Maschinenzubehör und Spezialwerkzeugen. Doch hinter der Fassade aus Ordnung und Effizienz begann sich ein Schatten auszubreiten.

Es begann harmlos. Eine Lieferung nach Wien kam doppelt an. Ein Kunde in Lyon erhielt Ware, die nie bestellt worden war. Die Buchhaltung entdeckte eine Rechnung über 38.000 Euro – ausgestellt an eine Firma namens „Nordbyte Solutions“, die es nicht gab. Die IT meldete verdächtige Zugriffe auf das CRM-System – über ein VPN aus Salzburg.

Clara Stein, Geschäftsführerin der Nordversand, rief ihre Führungskräfte zusammen. Im Besprechungsraum saßen Henrik Baum (IT-Leiter), Oliver Kern (Logistikchef), Nina Falk (Buchhaltung) und Leo Brandt (Außendienst). Die Stimmung war angespannt.

„Wir haben ein Sicherheitsproblem“, begann Henrik. „Jemand hat sich mit Admin-Rechten Zugriff auf unsere Systeme verschafft. Die Spur führt zu einem VPN-Server in Salzburg.“

Leo hob die Hand. „Ich war letzte Woche dort – privat. Ich hatte keinen Laptop dabei.“

„Und trotzdem wurde von deinem Account eine Bestellung ausgelöst“, sagte Henrik. „An Nordbyte Solutions. Die Adresse ist ein leerstehendes Bürogebäude.“

Clara sah Leo scharf an. „Wie erklärst du das?“

Leo schwieg.

Nina meldete sich zu Wort. „Ich habe eine Rechnung gesehen, die doppelt verbucht wurde – mit einer abweichenden Kontonummer. Das ist mir erst beim Monatsabschluss aufgefallen.“

„Und wer hat die Rechnung freigegeben?“ fragte Clara.

„Das System zeigt Oliver Kern als Freigeber“, antwortete Nina. „Aber das Datum passt nicht. Oliver war da auf einer Messe in Hamburg.“

Henrik überprüfte die Logdateien. „Die Freigabe erfolgte von einem internen Rechner – aus dem Buchhaltungsbüro.“

„Mein Rechner war zur Wartung“, sagte Nina. „Henrik, du hast ihn abgeholt.“

„Stimmt“, sagte Henrik. „Aber ich habe ihn nur weitergegeben – an unseren externen Techniker.“

„Wer hat den beauftragt?“ fragte Clara.

„Ich“, sagte Henrik. „Er heißt Tobias Rehm. Ich kenne ihn aus einem früheren Projekt.“

Clara stand auf. „Wir müssen die Polizei einschalten.“

Henrik winkte ab. „Ich habe noch etwas gefunden.“ Er öffnete eine Datei: „Lieferstatus_final.xlsx“. Darin waren Lieferungen aufgeführt, die nie stattgefunden hatten – aber abgerechnet wurden. Die Datei war zuletzt bearbeitet worden von einem Benutzer namens „c.stein“.

„Das kann nicht sein“, sagte Clara. „Ich habe nie mit dieser Datei gearbeitet.“

Henrik lächelte. „Ich weiß. Der Benutzer wurde manipuliert. Die Datei stammt von einem USB-Stick – gefunden in deinem Büro.“

Stille.

„Ich habe ihn nicht dort hingelegt“, sagte Clara. „Jemand will mir etwas anhängen.“

Henrik nickte. „Genau das dachte ich auch. Und dann habe ich mir die Sicherheitskameras angesehen.“

Er spielte ein Video ab. Zu sehen war, wie jemand spätabends das Büro betrat – mit einem USB-Stick in der Hand. Die Person trug eine Nordversand-Jacke. Das Gesicht war nicht zu erkennen, aber die Körperhaltung war eindeutig.

„Oliver Kern“, sagte Henrik leise.

Oliver stand auf. „Ich wollte nur zeigen, wie unsicher unser System ist. Ich wollte, dass ihr endlich zuhört.“

Zwei Wochen zuvor

Oliver saß allein im Lagerbüro. Die Halle war leer, das Licht gedimmt. Auf dem Bildschirm blinkte ein Fenster: „Zugriffsrechte erweitern – Admin-Modus aktiv“. Er hatte lange darüber nachgedacht. Die letzten Monate waren frustrierend gewesen. Seine Vorschläge zur Optimierung der Lieferkette wurden ignoriert, sein Budget gekürzt, seine Abteilung übergangen.

„Wenn sie nicht zuhören, muss ich sie zwingen“, murmelte er.

Er hatte sich Zugang zu einem alten VPN-Server verschafft, den die IT nie richtig abgeschaltet hatte. Von dort aus konnte er sich als Leo einloggen – dessen Passwort hatte er zufällig gesehen, als dieser es auf einem Post-it am Monitor kleben ließ. Die Bestellung an „Nordbyte Solutions“ war ein Test. Niemand sollte Schaden nehmen – nur ein paar Daten, ein paar falsche Buchungen. Ein Weckruf.

Doch dann wurde es komplizierter. Der externe Techniker Tobias, den Henrik beauftragt hatte, war neugierig geworden. Er hatte Fragen gestellt, sich tiefer ins System gegraben, und plötzlich war Oliver nicht mehr allein. Die Kontrolle entglitt ihm.

Die Eskalation

Am nächsten Tag meldete sich ein Kunde aus Dänemark. Er hatte eine Lieferung erhalten, die nie bestellt worden war – exakt die Ware, die über „Nordbyte Solutions“ verbucht worden war. Clara war fassungslos. „Das ist kein Test mehr“, sagte sie. „Das ist Betrug.“

Henrik entdeckte weitere Unregelmäßigkeiten: E-Mails, die scheinbar von Clara stammten, aber nie von ihrem Account verschickt wurden. Eine davon enthielt eine Freigabe für eine Zahlung über 48.000 Euro – an ein Konto in Estland.

„Das ist nicht mein Stil“, sagte Clara. „Ich würde nie eine Zahlung ohne Rücksprache freigeben.“

Henrik überprüfte die Metadaten. Die E-Mail war über einen internen Server verschickt worden – mit gefälschter Absenderadresse. Der Zugriff erfolgte über ein Gerät, das zuletzt im Lagerbereich aktiv war.

„Oliver hat dort sein Büro“, sagte Nina leise.

Henrik begann, die Bewegungsdaten der Mitarbeiterausweise auszuwerten. Oliver war in den letzten zwei Wochen mehrfach spätabends im Gebäude gewesen – zu Zeiten, in denen er laut Dienstplan nicht hätte da sein dürfen.

Die Konfrontation

Die Geschäftsführung entschied sich, Oliver zur Rede zu stellen. In einem vertraulichen Gespräch mit Clara und Henrik gestand er schließlich: „Ich wollte nie Schaden anrichten. Ich wollte nur, dass ihr versteht, wie verletzlich wir sind.“

„Du hast uns gezeigt, wie wichtig Sicherheit ist“, sagte Clara ruhig. „Aber du hast auch Vertrauen zerstört.“

Oliver wurde suspendiert. Die Polizei übernahm die Ermittlungen. Die Beweise waren erdrückend: Logdateien, Videoaufnahmen, manipulierte Dateien, gefälschte E-Mails. Doch das Motiv blieb rätselhaft.

In einem letzten Gespräch mit Henrik sagte Oliver: „Ich habe gesehen, wie leicht es ist, alles zu manipulieren. Und ich habe gehofft, dass ihr es auch seht.“

Die Wendung

Zwei Tage später meldete sich Tobias Rehm, der externe Techniker. Er hatte bei der Durchsicht der Serverprotokolle etwas entdeckt: ein versteckter Prozess, der Daten in Echtzeit an eine externe Adresse sendete – nicht nach Estland, sondern nach Frankfurt.

Henrik war alarmiert. „Das war nicht Oliver“, sagte er. „Er hat das System manipuliert – aber nicht diesen Prozess.“

Die Spur führte zu einem zweiten VPN-Zugang – eingerichtet über einen Admin-Account, der nie offiziell existierte. Die Zugangsdaten stammten aus einem Backup, das vor drei Jahren erstellt worden war – von Henrik selbst.

Clara konfrontierte Henrik. „Was hast du getan?“

Henrik schwieg lange. Dann sagte er: „Ich wollte ein Sicherheitsnetz. Einen Weg, um alles zu überwachen. Aber jemand hat es benutzt – ohne mein Wissen.“

Die Polizei ermittelte weiter. Am Ende stellte sich heraus: Tobias Rehm hatte sich über das Backup Zugang verschafft. Er hatte Oliver beobachtet, seine Aktionen kopiert – und parallel ein eigenes System aufgebaut, um Daten zu verkaufen.

Auflösung

Der Täter war nicht Oliver Kern – sondern Tobias Rehm, der externe Techniker. Oliver hatte das System manipuliert, um auf Missstände hinzuweisen. Tobias nutzte die Gelegenheit, um echten Schaden anzurichten.

Die Hinweise waren subtil gestreut:

• Die parallelen VPN-Zugriffe.
• Die E-Mails mit gefälschter Absenderadresse.
• Die Zahlung nach Estland – ein Ablenkungsmanöver.
• Der versteckte Prozess im Server.
• Das Backup von Henrik – das Tobias missbrauchte.

Oliver wurde freigesprochen. Tobias wurde verhaftet. Clara führte neue Sicherheitsrichtlinien ein. Und Nordversand lernte, dass Vertrauen nicht nur ein Wert ist – sondern eine Verantwortung.

Wenn du möchtest, kann ich diese Geschichte als PDF oder Word-Datei exportieren oder eine Fortsetzung schreiben – etwa aus Sicht der Ermittler oder mit einem neuen Fall. Sag einfach Bescheid!

Cyber-Angriff und die rote Box

In Zeiten zunehmender Digitalisierung und stetig wachsender Vernetzung sind Unternehmen mehr denn je auf eine funktionierende IT-Infrastruktur angewiesen. Gleichzeitig steigt auch das Risiko durch Cyber-Angriffe. Doch was passiert im Ernstfall? Was, wenn Firewalls, Antivirensysteme und Monitoring-Tools versagen? Dann zählt jede Sekunde – und genau darum geht es in diesem Artikel.

Die rote Box: Symbol für digitale Notfälle

Das Bild zeigt eine auffällig rot lackierte Netzwerkbox mit einer deutlichen Botschaft:

„IM FALL EINER CYBER-ATTACKE – SCHEIBE EINSCHLAGEN UND ALLE STECKER ZIEHEN!“

Was auf den ersten Blick an einen Feuerlöscher erinnert, ist tatsächlich eine Maßnahme zur physischen Notfallabschaltung der Netzwerkverbindung. In der Box befinden sich mehrere Switches, verbunden mit Dutzenden gelber Netzwerkkabel. Diese führen zu Servern, Arbeitsstationen oder Netzwerkkomponenten eines Unternehmens.

Sinn und Zweck dieser „Notfallstation“

In einem schwerwiegenden Cyber-Angriff – etwa bei einem aktiven Ransomware-Befall oder einem gezielten Eindringen in das Firmennetzwerk – kann der einzige Weg zur Schadensbegrenzung darin bestehen, das System sofort und vollständig vom Internet sowie vom internen Netzwerk zu trennen. Eine solche Maßnahme kann:

• die weitere Verbreitung von Schadsoftware verhindern,
• Datenabflüsse stoppen,
• Angriffsspuren sichern,
• und Zeit für die forensische Analyse schaffen.

Die klare Botschaft an der Scheibe dient dabei als letzte Sicherheitsinstanz: eine Low-Tech-Methode gegen ein High-Tech-Problem.

Notfallpläne als Teil der IT-Sicherheitsstrategie

Diese Art von Schrank ist keine Spielerei – sie zeigt vielmehr, wie wichtig gut durchdachte Notfallprozesse in der IT-Sicherheit sind. Unternehmen sollten neben Firewalls und Antivirus-Systemen auch über folgende Fragen nachdenken:

• Gibt es einen dokumentierten Notfallplan bei Cyber-Angriffen?
• Wissen Mitarbeitende, wer im Ernstfall welche Entscheidung trifft?
• Wie schnell kann der Netzwerkzugang physisch getrennt werden?
• Wird regelmäßig geübt, was im Notfall zu tun ist?

Fazit: Analoge Absicherung in einer digitalen Welt

Während sich Cyberkriminelle ständig weiterentwickeln, bleibt ein Grundsatz bestehen: Im Zweifelsfall kann ein gezogener Stecker mehr bewirken als jede Softwarelösung. Die abgebildete rote Notfallbox ist ein plakatives Beispiel für einen pragmatischen, aber effektiven Ansatz zur Krisenabwehr.

Digitale Sicherheit endet nicht im Code – sie beginnt mit Vorbereitung, Prozessen und der Bereitschaft, im Notfall beherzt zu handeln.

Das albanische Virus funktioniert noch

So wird das manuelle "albanische Virus" beschrieben, wie es funktionieren soll:

• Es ist eine Nachricht, oft eine E-Mail. Die Nachricht behauptet typischerweise, dass der Empfänger ein "albanisches Virus" erhalten hat.
• Aufgrund der "schlechten Technologie" in Albanien sei es ein "manuelles" Virus. Das ist der Kern des Witzes.
• Die Anweisungen bestehen darin, alle Dateien auf der Festplatte manuell zu löschen.
• Die Nachricht fordert dann auf, die E-Mail an alle Bekannten weiterzuleiten. So verbreitet sich das "Virus" – indem Leute bereitwillig den absurden Anweisungen folgen und die Nachricht weitergeben.

Das "albanische Virus" funktioniert also nicht technisch. Es beruht auf Social Engineering und Humor, um Computer zu "infizieren", indem es Benutzer dazu bringt, ihre eigenen Dateien zu löschen.

Im Laufe der Zeit ist das "albanische Virus" mit verschiedenen Nationalitäten in Verbindung gebracht worden (z. B. "irisches Virus", "Amish-Computervirus"), wobei alle dem gleichen Grundprinzip folgen: ein technologisch unbegabter Ursprung und manuelle Zerstörungsanweisungen.

Enkeltrick & Phishing: Dieselbe Methode in Neuauflage

• Enkeltrick: Betrüger geben sich als Angehörige oder Offizielle aus und nutzen Angst oder Dringlichkeit („Ich brauche sofort Geld!“), um Menschen zu unüberlegtem Handeln zu bewegen.
• Phishing: Opfer erhalten täuschend echte Mails oder Nachrichten („Ihr Konto ist gesperrt!“) und werden dazu verleitet, ihre Zugangsdaten selbst preiszugeben – genau wie beim albanischen Virus, wo Menschen sich selbst schaden.

Warum funktioniert das noch heute?

• Emotionale Manipulation: Menschen reagieren eher auf Angst oder Mitleid als auf rationales Denken.
• Technische Täuschung: Phishing-Seiten und Fake-Anrufe wirken professioneller als früher.
• Mangel an Aufklärung: Viele Opfer kennen diese Methoden nicht oder denken „mir passiert das nicht“.

Kurz gesagt: Kriminelle bringen ihre Opfer dazu, sich selbst zu schaden – sei es durch Löschen von Daten (albanischer Virus), Geldüberweisungen (Enkeltrick) oder das Weitergeben von Passwörtern (Phishing). Der Trick hat sich kaum verändert – nur die Maske ist eine andere.

Machen Sie einen User-Awareness-Check in Form von Online-Prüfung, um herauszufinden, wie Sie in verschiedenen Szenarien reagieren würden. Der dazu benötigte Test ist auf dieser Website, kostenfrei und unverbindlich für Sie nutzbar.

HP Universal-Druckertreiber kritisch

viele von Ihnen verwenden Drucker von #HP und damit auch den Universal #Druckertreiber (meist PCL6, 64 Bit). In der Softwareliste taucht dieser als "64 Bit HP CIO Components Installer" auf.

#Wichtig - bereits am 18. November 2024 veröffentlichte HP eine aktualisierte Version des Treibers, erst am 29. Januar 2025 wurde der Artikel dazu publik gemacht.

Konkret weisen alle älteren Versionen als v7.3.0.25919 im CVS mit 9.8 bewertete kritische #Sicherheitslücken auf, die es Angreifern ermöglicht, Programmcode über Systeme, wo der Treiber installiert ist, zu installieren und auszuführen. Details hier.

Bringen Sie - falls noch nicht geschehen - bitte Ihren Universal-Druckertreiber von HP, sofern im Einsatz, auf den aktuellen Stand.

[linkbutton link="https://support.hp.com/de-de/drivers/hp-universal-print-driver-series-for-windows/model/3271558" label="HP Universaldruckertreiber Downloadseite"]

Phishing, Quishing, Smishing oder Vishing

Kurz notiert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen gut strukturierten Leitartikel verfasst, der die oben genannten Betrugstechniken erklärt und Tipps und Hinweise gibt, wie man diese Art von Angriffen effektiv verhindern kann. Zusätzlich werden die wichtigsten Kontaktadressen genannt für den Fall, das doch etwas passiert.

Wir haben für alle Interessierten zusätzlich einen kleinen User #Awareness Test als Multiple Choice Prüfung für Sie entworfen. Testen Sie Ihr Wissen kostenlos und unverbindlich.

[linkbutton link="https://www.bsi.bund.de/dok/passwortdiebstahl-durch-phishing" label="BSI-Kompendium Phishing"]

[linkbutton link="https://wp.pbcs.de/user-awareness/" label="User Awareness-Prüfung"]

Crowdstrike vs. CounterStrike

Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet. Dennoch lässt das pure Ausmaß aufhorchen.

Am 19. Juli 2024 sorgte eine flächendeckendes, fehlerhaftes Update für das Security Product "Falcon" der texanischen Firma Crowdstrike für Totalausfälle bei vielen Unternehmen der KRITIS Infrastruktur. Betroffen waren viele Fluggesellschaften, Behörden und kommunale Einrichtungen. Die Nachwirkungen dauern an. Der kritische Effekt dabei: Nach dem Update/Neustart von Windows Rechnern und Servern fuhren die Systeme in einen Blue Screen.

Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen "Rollback"), sondern über einen eigenen Updater von Crowdstrike installiert wurden.

Fakt: Jeder betroffene PC und Server musste/muss von Hand angefasst, die schadhafte Datei ersetzt und neu gestartet werden.

Warum vs. CounterStrike? Hört sich fast genauso an. Auch ich nahm im ersten Augenblick an, dass es sich um das Spiel dreht. CS ist ein "Ego-Shooter"-Computerspiel, in dem es darum geht, im Team Terroristen zu vernichten. Crowdstrike hat es geschafft, IT-Systeme von über 20.000 Kunden weltweit lahmzulegen - nur das hier unschuldige Unternehmen und keine Terroristen das Ziel waren.

Kommentar der Redaktion:
Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt. Allerdings war beim Print Nightmare (dem letzten großen Fail in der Größenordnung) nicht auf allen Geräten ein Bluescreen und Admins konnten den Patch zurückrollen.

Hier haut man einen Patch raus, der flächendeckend einen Bluescreen erzeugt – nicht nur auf spezifischer Hardware. Die Aktionäre haben die texanische Firma schon bestraft, aber für sowas muss doch Schadenersatz gezahlt werden – und (nur) wenn einer der Schergen dahintersteckt auch hohe Bußgelder verhängt werden.

Ohne auf Verschwörungstheorien zu setzen – Kaspersky wird in den USA verboten, weil der CEO auf der russischen Geheimdienstschule war. Der 2. CEO von Crowdstrike kommt vom FBI, der erste CEO und Gründer war früher bei McAfee. Beides auch keine Vertrauens-Garanten, wenn man die Geschichte von John McAfee aus Belize kennt. Ein Verbot ist hier aber unwahrscheinlich. Da die Ursache für den Massen-Rollout des Crowdstrike Patches noch untersucht wird, ist es durchaus denkbar, dass Schurkenstaaten und deren Cyberkriminelle dahinter stecken.

Die Darstellung im Kasten stellt eine Einschätzung und die Meinung der Redaktion dar.

Wir verfolgen die Untersuchungen und sind gespannt auf die Ursache und welche Maßnahmen ergriffen werden, um so etwas zukünftig zu vermeiden

Cybersicherheit - Authentifizierungs Tipps

Nicht alle Verfahren lassen die Absicherung mit einem zweiten Faktor #MFA zu. Umso wichtiger ist es, für alle Anmeldungen (egal ob am Netzwerk, in der Domäne oder bei Online-Diensten) sichere Kennwörter zu verwenden.

Nach einer aktuelle Studie von März 2024 sind zwar viele dem Aufruf gefolgt (bzw. wurden vom den Anbietern dazu gezwungen) Kennwörter auf mindestens 8 Zeichen zu verlängern, es gibt aber noch zu viele Sites, die nicht gleichzeitig Komplexität einfordern.

Das Resultat: Nach "123456" ist nun "12345678" das meistverwendete Kennwort. Da wo Komplexregeln gelten, ist nun Passwort1$ das meistgefundene Kennwort. Man kann sicher davon ausgehen, dass solche Konten bereits gehackt wurden - ansonsten ist der Identitätsdiebstahl nur eine Frage der Zeit.

Vorschläge

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zwar weiterhin (auch für Standard-User) 8-stellige Kennwörter, bei denen 3 von 4 Komplexitäts-Regeln erfüllt sein müssen, die allgemeine Praxis setzt aber auf 10 Stellen (sofern kein zweiter Faktor möglich ist, wie beim Active Directory zur Anmeldung im Firmennetzwerk bzw. an der Windows Domäne und einigen Websites):

• Großbuchstaben
• Kleinbuchstaben
• Zahl
• Sonderzeichen wie §$%&/.- und Leerzeichen

Die gebildeten Kennwörter dürfen in keinem Wörterbuch auftauchen (also keine ganzen Wörter enthalten, es sei denn, sie sind mit Rechtschreibfehlern gespickt).

Immer wenn Zwei-Faktor möglich ist, sollte es verwendet werden. Bei Microsoft365 (Entra-ID, ehemals Azure Active Directory: Office, Teams, Sharepoint, Exchange online) lässt sich die Anmeldung entweder kostenlos mit der Authenticator App oder im Rahmen eines Microsoft 365 Business Premium Plans auch mit "conditional access" absichern. Hierbei wird entweder die Hardware-ID des Endgerätes als zweiter Faktor verwendet oder/und es lassen sich geografische Zugänge eingrenzen (z. B. keine Anmeldung aus dem Ausland).

Notebooks verschlüsseln

Werden Notebooks/Windows tablets verwendet, müssen diese zusätzlich (das funktioniert mit Bordmitteln) durch den Bitlocker und einer 4-6 stelligen PIN geschützt sein. Beim Einschalten des Geräts, noch bevor das Betriebssystem startet, wird dann diese PIN angefordert.

Richten Sie sich am Besten nach folgenden Regeln:

• Wenn möglich, 2-Faktor-Authentifizierung verwenden (MFA)
• Passwörter sollten grundsätzlich 10 Zeichen haben und komplex sein
• Admin/Domain-Admin Passwörter sind mit mindestens 12 Zeichen und Komplexität empfohlen

Empfehlungen der Redaktion

Kaspersky Antivirus in den USA verboten

#Wichtig - In den vereinigten Staaten wurde nun ein Vertriebsverbot für #Kaspersky Security-Produkte verabschiedet. Es wird noch im Juli 2024 für den Abschluss von neuen Abonnements wirksam. Bisher war nur amerikanischen Behörden untersagt, Produkte dieses Herstellers zu verwenden. Das „Kaufverbot“ wurde nun auch auf andere Unternehmen ausgeweitet. Im Artikel steht nichts davon, ob es auch für Consumer gültig ist.

Zwar sitzt die Kaspersky Holding LLC in London (was aber mittlerweile auch außerhalb der EU liegt) und EMEA-Signaturen müssen in der Schweiz freigegeben werden, es gibt aber technisch gut funktionierende Alternativen zum vergleichbaren Preis mit ähnlichen Performance-Werten.

Wir berichteten bereits in diesem Artikel über die Vorgeschichte.

So ist der #Defender für Business in Unternehmen bis 300 Mitarbeitenden im Microsoft 365 Business Premium Plan enthalten und umfasst auch den KI-unterstützten erweiterten Schutz für Endgeräte. Server lassen ich ebenfalls mit Plänen absichern. Bei größeren Unternehmungen kommen die Enterprise oder M-Pläne zum Einsatz.

Unter Betrachtung dieser Aspekte ist es eine Überlegung wert, den Kaspersky durch Defender für Business / Server / Azure Server zu ersetzen.
Nach Ablauf der Kaspersky-Subscription sollte diese nicht verlängert werden und ein Wechsel zum Microsoft Produkt (oder einem Virenscanner Ihrer Wahl, der aber Risiken und Performance Nebenwirkungen haben kann und nicht von uns getestet ist) anzustreben.

Anydesk Server wurden gehackt

Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt.

#Wichtig - Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware "unterzujubeln".

Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen.

Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat - es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt.

Stellen Sie dann auf andere, sicherere Lösungen - wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen.

Die Redaktion

SSH - Terrapin Angriffs-Szenario

am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt.

Zu beachten

1. Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind)
2. Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden - er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen.
3. Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß - wie die VPNs - über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar.
4. Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen.
5. Unsere Shop-Frontends sind nicht von dem Szenario betroffen.
6. Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab.
7. Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern.

Client-Software aktualisieren

Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn Server UND Client abgesichert sind, ist die Lücke nicht ausnutzbar. Stellen Sie bitte sicher, dass diese auf den neusten Versionen sind. Weit verbreitet sind die folgenden Anwendungen:

• Filezilla Client (mind. Version 3.66.4)
• PuTTY (mind. Version 0.80)
• WinSCP (mind. Version 6.2.2)

WebP - Sicherheitslücken zahlreich

Kurz notiert, aber #wichtig - In einer von zahlreichen Softwareprodukten genutzten Grafik-Bibliothek sind kritische Sicherheitslücken festgestellt worden. Auf einer Skala von 10 mit Risiko 10 bewertet. Die Referenz ist: CVE-2023-5129.

Eines der betroffenen Produkte ist auch Libreoffice, das einige von Ihnen beispielsweise zum Erstellen von PDF-Formularen benutzen. Aber auch einige kostenlose Grafiklösungen sind betroffen.

Grundsätzlich gilt: Aktualisieren Sie Libreoffice auf Version 7.6.2.1 und recherchieren Sie, ob weitere Software, die Sie im Einsatz haben, betroffen sein könnten. Bei Unsicherheit ist es immer eine gute Idee, alle Tools, Werkzeuge und frei Software auf dem aktuellen Stand zu haben.

(Noch unvollständige) Liste betroffener Software

auf Github

Notepad++ Sicherheitslücke geschlossen

Weil der nützliche Editor doch sehr weit verbreitet ist, ist die folgende Meldung eine Notiz wert:

Nachdem bekannt wurde, dass im Notepad++ vier offene Sicherheitslücken klaffen, hat der Chefentwickler das Update 8.5.7 veröffentlicht. Die geschlossenen Sicherheitslücken sind CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166. Außerdem wurde die uninstall.exe digital signiert.

Mit einer der Sicherheitslücken konnte man durch Öffnen eines präparierten Dokuments Angreifern die Ausführung von Programmen und damit die Kontrolle über Systeme erlauben.

#Wichtig - Aktualisieren Sie bitte dringend alle Ihre Systeme durch Notepad++, Version 8.5.7, um auf der sicheren Seite zu sein.

NIS2 - Sicherheits-Richtlinie ab Okt 2024

Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.

Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.

#Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.

Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.

Änderungen nach nationaler Umsetzung des Gesetzes

Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.

Das BSI schreibt dazu: "[...] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“

Wer ist betroffen?

Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.

[] mindestens 50 Mitarbeiterinnen und Mitarbeitern.
[] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro.
[] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.

und einer Tätigkeit aus den Folgenden:

[] Herstellung, Produktion und Vertrieb von Chemikalien.
[] Lebensmittelproduktion, -verarbeitung und -Vertrieb.
[] Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff).
[] Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen).
[] Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte).
[] Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr).
[] Bankwesen (Kreditinstitute).
[] Finanzmarktinfrastruktur (Handelsplätze).
[] Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation).
[] Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke).
[] Post- und Kurierdienste.
[] Forschung.
[] Weltraum (Bodeninfrastruktur).
[] Öffentliche Verwaltungen.
[] Trinkwasser (Wasserversorgung).
[] Abwässer (Abwasserentsorgung).
[] Abfallwirtschaft (Abfallbewirtschaftung).

Was ist zu tun?

BSI Betroffenheit prüfen

Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html?nn=1116326#Pruefung" label="BSI Prüf-Tool Stand Juli 2024"]

Weitere Schritte

#Wichtig - da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.

Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.

Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.

Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.

Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im "best practice" von jährlichen Audits aus.

Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.

Registrierung im BSI Meldeportal

Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.

Checkliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html" label="Checkliste zur Vorgehensweise vom BSI"]

Beispiele für Verstöße

• Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
• keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
• Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
• kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
• Kein Meldewesen bei erkannten Vorfällen

Fazit

Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.

Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.

Ghostscript kritische Lücke

Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten.

Die Sicherheitslücke CVE-2023-36664, CVSS 9.8, Risiko "kritisch" erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden.

Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript "unter der Motorhaube" zum PDF-Erstellen verwenden - wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden - sofern das möglich ist.

#Wichtig - Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen). Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programme (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installlieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) die 64-Bit Version auf den Service Tiers.

Sicherheitsbulletin von Kroll.com

SPAM in Briefform - IT-Sicherheit

obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine "Firma" aus Darmstadt immer noch Kunden zu verunsichern.

An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung - die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.

In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.

Danach wird die "Geschäftsführung" aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.

Dieses Roboter-Schreiben gehört sofort in die Ablage P!

Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.

Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain ".zip" ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig - Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Neues aus dem Phishereihafen

Mittlerweile lässt die Bereitschaft der Phishing Agency, korrekte deutsche Sprache zu verfassen wieder nach. Vermutlich weigert sich ChatGPT mittlerweile, den Betrügern Texte zu verfassen. Die Nigeria-Connection nennt uns nun "Aufmerksamkeit" - wer mich nicht mit "Euer Durchlaucht" anreden, bekommt meine schon mal gar nicht.

Auch schön - was bedeutet "in die scarier Wahl sucked"? - Google meint (wortwörtlich): "In der gruseligeren Wahl war es Kot"...

Ich informiere die Europäer über meine Absicht, mein Vermögen von 100 Milliarden Euro meines Vermögens an die Glücklichen auf dem europäischen Kontinent zu verteilen.
Ihre E-Mail-Adresse wurde für eine Spende in Höhe von 350.000,00 Euro in die scarier Wahl sucked.
Bei Interesse kontaktieren Sie uns für weitere Details.

Der "Sanfte Kunde" in der anderen Fraud-Mail schmeichelt dagegen. Mit Aktivitäten AUF meiner Kreditkarte meinen die bestimmt, dass eine Ameise über die Karte gekrabbelt ist. Wie auch immer - mittlerweile kann man nur sagen: "Wer drauf reinfällt, ist selbst schuld".

Zerstören Sie diese Nachricht

Neben Banken und Liefer-/Paketdiensten werden nun auch Logos von Punktesammelfirmen in Phishing-E-Mails eingesetzt. Die angegebene Miles & More AG gibt es natürlich nicht (es ist eine GmbH), auch die Absendeadresse ist wieder klar als falsch erkennbar. Während man in dieser E-Mail auf Rechtschreibfehler verzichtet, sind die gewählten Formulierungen kurios: Konto Aktivität, aber Karte, nicht Konto gesperrt. Und sie laden uns ein, auf den bösen, bösen Link zu klicken. Klar, wer auf alles klickt, das nicht bei 1-2-3 auf den Bäumen ist, wird auch darauf hereinfallen. Wie man E-Mails "zerstört" bleibt ungeklärt. Wir empfehlen 85%ige Salzsäure (wie in dem Filmzitat "Diese Nachricht zerstört sich in 5 Sekunden").

Auch die in den Microsoft 365 Business Premium Plänen integrierte Linkprüfung verhindert nicht zu 100% das Aufrufen solcher Betrugswebseiten.

Wir können immer nur wiederholen: Links in E-Mails anklicken ist absolut tabu. Auch wenn es sich um E-Mails vermeintlich bekannter Absender handelt - auf jeden Fall die Link-Adresse kopieren und in einem Editor anschauen. Besser: Die Webseite des Anbieters eingeben oder den eigenhändig erstellten Lesezeichen aufzurufen, ist eher geeignet.

IT-Sicherheit - Fragen und Antworten

In dieser #FAQ haben wir die wichtigsten Fragen und Antworten zur IT #Sicherheit für Sie zusammengestellt:

[faq]Was ist Phishing und wie können Sie sich davor schützen?|=|
Phishing ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartennummern preiszugeben. Sie können sich davor schützen, indem Sie auf verdächtige E-Mails achten, keine Links in E-Mails anklicken, die Sie nicht erwartet haben, und keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist.
||Was ist Social Engineering und wie können Sie sich davor schützen?|=|
Social Engineering ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen preiszugeben, indem sie sich als vertrauenswürdige Person oder Organisation ausgeben. Sie können sich davor schützen, indem Sie auf verdächtige Anfragen achten, keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist, und keine Links anklicken, die Sie nicht erwartet haben.
||Was ist Ransomware und wie können Sie sich davor schützen?|=|
Ransomware ist eine Art von Malware, die Ihre Dateien verschlüsselt und Sie auffordert, ein Lösegeld zu zahlen, um sie wiederherzustellen. Sie können sich davor schützen, indem Sie regelmäßig Backups Ihrer Dateien erstellen, eine Antivirensoftware verwenden und keine verdächtigen E-Mail-Anhänge öffnen.
||Was ist Malware und wie können Sie sich davor schützen?|=|
Malware ist eine Art von Software, die darauf abzielt, Ihren Computer zu beschädigen oder zu stehlen. Sie können sich davor schützen, indem Sie eine Antivirensoftware verwenden, keine verdächtigen E-Mail-Anhänge öffnen und keine Software von unbekannten Quellen herunterladen.
||Was ist ein starkes Passwort und wie können Sie ein sicheres Passwort erstellen?|=|
Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Sie sollten auch keine persönlichen Informationen wie Ihren Namen oder Ihr Geburtsdatum verwenden.
||Was ist eine Firewall und wie funktioniert sie?|=|
Eine Firewall ist eine Art von Sicherheitssoftware, die den Datenverkehr zwischen Ihrem Computer und dem Internet überwacht und unerwünschte Verbindungen blockiert.
||Was ist ein VPN und wie funktioniert es?|=|
Ein VPN ist eine Art von Sicherheitssoftware, die Ihre Internetverbindung verschlüsselt und Ihre Identität verbirgt, indem sie Ihre IP-Adresse maskiert.
||Was ist eine Zwei-Faktor-Authentifizierung und wie funktioniert sie?|=|
Eine Zwei-Faktor-Authentifizierung ist eine Methode, bei der Sie sich mit zwei verschiedenen Methoden anmelden müssen, z. B. einem Passwort und einem Fingerabdruck oder einem Passwort und einem SMS-Code.
||Was ist ein Physischer Zugriff und wie können Sie sich davor schützen?|=|
Physischer Zugriff bezieht sich auf den Zugriff auf einen physischen Ort oder ein physisches Gerät. Sie können sich davor schützen, indem Sie Ihre Geräte sperren, wenn Sie sie nicht verwenden, und sicherstellen, dass Sie sie nicht unbeaufsichtigt lassen.
||Was ist ein Sicherheitsupdate und warum ist es wichtig, es durchzuführen?|=|
Ein Sicherheitsupdate ist eine Art von Software-Update, das Sicherheitslücken in Ihrem Betriebssystem oder Ihrer Software behebt. Es ist wichtig, Sicherheitsupdates regelmäßig durchzuführen, um sicherzustellen, dass Ihr Computer vor Bedrohungen geschützt ist.[/faq]

Sicherheitslücken in veeam geschlossen

Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen.

Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der "Veeam Distribution Service" auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen.

Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind.
Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden.

Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal.

Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherungs für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.

Neulich bei Junk-Mail: 1.5mio geschenkt

glücklicherweise nerven solche E-Mails in der Regel nicht, wenn man einen effizienten SPAM-Filter einsetzt. Dennoch fallen immer wieder Personen auf solche E-Mails herein:

Hallo,
Ich bin Frau Maria Elisabeth Schaeffler, eine deutsche Wirtschaftsmagnatin,
Investorin und Philanthropin. Ich bin der Vorsitzende von Wipro Limited, 25
% meines persönlichen Vermögens werden für wohltätige Zwecke ausgegeben und
ich habe auch versprochen, die restlichen 25 % in diesem Jahr 2022 an
Privatpersonen zu verschenken. Ich habe beschlossen, 1.500.000,00 Euro an
Sie zu spenden, wenn Sie es sind an meiner Spende interessiert sind,
kontaktieren Sie mich bitte für weitere Informationen.
Unter folgendem Link können Sie auch mehr über mich lesen {wikipedia-Link}
Grüße
Direktor Wipro Limited
Maria Elisabeth Schaeffler
E-Mail: mariaelisabethschaeffler85@gmail.com

SPAM-Mail von Zufallsalias@gmail.com oder @outlook.com

Hier mal ein schlecht gemachtes Beispiel, das im Moment aber als wahre Massen-E-Mail das Netz überschwemmt. Man macht sich nicht mal die Mühe, den Empfänger mit seinem Namen anzureden, oben steht eine deutsche Frau als Absender, der Mustertext bezieht sich aber auf einen Mann, der Vorsitzender einer ausländischen GmbH (Limited - kürzt man das nicht generell als Ltd. nur ab? Und hat eine GmbH nicht einen Geschäftsführer und Gesellschafter statt einem Vorsitzenden?) ist. Schade auch, dass "Frau" sich nicht mal eine eigene E-Mail-Adresse/Domain leisten kann. Die Absendeadresse ist darüberhinaus eine andere als zum Antworten angegeben. Und 2x 25% sind 100% laut der oben stehenden Rechnung.

Die Masche ist schon Jahrzehnte alt und wurde m. E. von der Nigeria Connection erfunden. Wer drauf reinfällt, muss erstmal jede Menge Geld überweisen, um dann nichts zu bekommen. Falls Ihr Spamfilter mal eine solche E-Mail durch lässt - die Entf-Taste ist die richtige Wahl. Zusätzlich hilft bei solch schlecht gemachten Mail ein einfacher Absenderfilter, der E-Mail-Aliase mit Zahlen direkt löscht.

Mehrwersteuer! Ergreift Maßnahmen jetzt!

Neues aus dem Phisherei-Hafen. Zwar sind aktuelle Phishing-E-Mails häufiger ohne eklatante Rechtschreib- oder Grammatikfehler (bis auf das fehlende "t" in Mehrwersteuer), aber etwas mehr Mühe hätte man doch erwarten können:

• Adresse liegt in einer Wohnung in einem Plattenbau in Berlin (hier keine gewerbliche Nutzung erlaubt)
• Die "Firma" nennt sich DeutschePostDe (endlich weiß ich was "DPD" bedeutet)
• Mein Name ist "Hallo" - so zumindest die Anrede (also wie in der US-Version von Hallo Spencer, wo man Hallo zum Vornamen machen musste, damit das Video nicht verändert werden musste).
• Es geht um 1,12 EUR Zollgebühren (Zollgebühren unter 5 € werden nicht erhoben und Bisher musste der Zoll die Gebühren selbst erheben, die Abholung musste persönlich durch den Empfänger erfolgen)

Scheinbar fallen gerade in der Black Week bzw. zum Black Friday, den viele Unternehmen nutzen, viele Anwender auf solche Sachen rein. Gleichzeitig flutet aktuell eine riesige Anzahl von Fake-Shops das Internet, wo nicht existente Waren zum Abgreifen von Zahlungsinformationen angeboten werden. Sollte Ihr SPAM-Filter solche E-Mails durchlassen, schärfen Sie bitte die Regeln und löschen sie ansonsten unverzüglich.

Ihr Pa­ket wi­rd ge­rade vom Zo­ll abge­fertigt

Ha­llo,

Ihr Pa­ket MDFX22323234KK sollte he­ute ankommen. Aufg­rund eines Zwischenfalls während des Vers­ands mus­sten wir die Lief­erung auf morgen zwischen 9:00 und 13:00 Uhr vers­chieben.

Ihr Pa­ket wur­de vom Zo­ll aufg­rund des unbezahlten Mehrwe­rsteue­rbet­rags von 1,­12 E­UR zurückgehalten.

Um Ihr Pa­ket in Übereinstim­mung mit den akt­uellen Zo­llbestimmungen zuz­ustellen, muss die Mehrwertsteuergebühr inner­halb von 7 Wer­ktagen beza­hlt wer­den. Nach Ablauf dieser Frist wird das Pa­ket an den Ab­sender zurückgeschickt.

Ergreift Maßnahmen jetzt *kryptischer Phisching-Link"

Originalmeldung

Warum BYOD in Deutschland nicht funktioniert

Private Geräte dienstlich nutzen?

Während BYOD (bring your own device) in vielen außereuropäischen Ländern beliebt ist, verhindern Bundesdatenschutzgesetz (die deutsche Anwendung der EU-DSGVO) und Sicherheitsaspekte nicht nur die Verwendung von privaten Mobilgeräten, sondern auch von Laptops, Tablets und PC-Hardware mit Anbindung an dienstliche Quellen wie E-Mail, M365, AVD und Azure.
Neben den gesetzlichen Aspekten steigen auch die Risiken signifikant (im zweistelligen Prozentbereich), da privat eingebrachte, nicht verwaltete Geräte keine Mindestanforderungen erfüllen und keinem Monitoring unterliegen.
Viele Cyber-Versicherungen schließen daher grundsätzlich auch BYOD aus oder weigern sich, Zahlungen im Schadenfall zu leisten. Die Beweispflicht liegt dann beim Versicherungsnehmer, was den Anspruchnachweis zusätzlich erschwert.

Dienstliche Hardware und Mobilgeräte auch privat nutzen?

Die private Nutzung von dienstlichen Mobilgeräten (Smartphones, Tablets) kann hingegen gesetzlich vereinbart werden.

Hierzu müssen die technischen Maßnahmen eines Mobile Device Managements wie Intune genutzt werden (oder MDM-Software eines anderen Anbieters).
Effektiv lässt sich das nur mit Endgeräten von Samsung (Galaxy A50 und S20 oder neuer) realisieren, denn nur dort gibt es einen Bereich für private Apps wie Whatsapp, Gmail etc. und den geschäftlichen Bereich mit Outlook, M365 und anderen Dienst-Apps.
Auch die dienstlichen Daten liegen in einem verschlüsselten Bereich des Speichers und können vom Admin gelöscht werden. Die privaten Daten hingegen bleiben erhalten. (nur bei den Samsung Geräten ist das so, bei apple wird meines Wissens das Gerät komplett gelöscht).

In jedem Fall müssen auch die Nutzung der dienstlichen Mobiltarife und das Datenvolumen so organisatorisch geregelt werden, dass die private Nutzung erlaubt ist (Achtung! Nur risikoarm bei Flatrate-Tarifen, die nicht automatisch Volumen dazubuchen, sondern drosseln) und einer All-Net-Flatrate für Telefonie.

Die außereuropäische Nutzung solllte bei Verwendung der dienstlichen SIM komplett untersagt sein.

Zuletzt bietet sich noch die Möglichkeit, mit DUAL-SIM zu arbeiten und die private SIM dann dem privaten Bereich fest zuzuordnen und die dienstliche SIM nur im dienstlichen Bereich des verwalteten Mobilgeräts.

Abmahnwelle wegen Google-Fonts Remote

Mit Urteil des Landgerichts München vom 20.01.2022 (Az: 3 O 17493/20) wurde die Rechtswidrigkeit der Einbindung von Google-Fonts durch Aufruf von externen Seite festgestellt. Mit Aufruf der Website wird durch das Laden der Google-Fonts eine Verbindung zu US-Servern von Google aufgebaut und die IP-Adresse des Besuchers übermittelt.

Da eine Einbindung der Google Fonts oftmals auch bei der Anzeige des „Cookie-Banners“ und bei inhaltsleeren Fehlerseiten (z.B. gelöschte Seiten o.ä.) erfolgt, bleibt die Einbindung trotz Überprüfung gerne zunächst unentdeckt, womit die automatische Übermittlung der IP-Adresse des Besuchers daher gegen die DSGVO verstoßen kann. Details kann Ihnen hierzu ein Fachanwalt für IT-Recht oder Ihr Datenschutzbeauftragter erläutern.

Leider machen sich einige Abmahnanwälte diese Verstöße mit Massen-Abmahnungen zu Nutze und verschicken automatisiert Zahlungsaufforderungen in Höhe von rund 200 €.

Update 21.12.2022: Die beiden Abmahnanwälte, die mehr als 2.000 Abmahnungen verschickt haben, sind nun selbst angeklagt und verurteilt worden (wegen Abmahnbetrugs). In der Begründung der Staatsanwaltschaft Berlin wurde festgestellt, das die Suche nach Webseiten mit verlinkten Google Fonts durch eine Software durchgeführt werden. Da ein Datenschutz-Verstoß nicht gegen Programme, sondern nur gegen natürliche Personen wirksam sind, waren die Abmahnungen in betrügerischer Absicht.
Ungeachtet dieser Massenabmahnung sollten Sie Google Fonts und andere "Open-Source" Bibliotheken ausschließlich auf dem eigenen Webauftritt betreiben (also keine externen Links setzen).

Schutz-Maßnahmen

Keine Befürchtungen im Fall einer entsprechenden Abmahnung müssen Sie haben, wenn Sie entweder keine externen Fonts in Ihrem Internetauftritt eingebunden haben oder die Google-Fonts lokal über ihren in Deutschland gehosteten Webserver mit ausliefern.

Das können Sie stichprobenartig einfach prüfen, indem Sie Ihre Internetseite aufrufen und dann im Chrome oder Edge die Taste {F12} drücken. Im Register „Quellcode“ erscheint dann links eine Liste der Quellen, aus denen Ihre Seiten die Daten beziehen. Taucht dort nur die eigene Domain auf, reduziert sich das Risiko einer Abmahnung signifikant. Alternativ rufen Sie von Ihren Seiten und Unterseiten „Seitenquelltext anzeigen“ auf und suchen darin nach "fonts" oder „google“.

Auf diesen Seiten verwenden wir beispielsweise keine externen Quellen für Google-Fonts, Avatare, Emojis und andere Darstellungs- oder Programmcode-Elemente. Mehr dazu in unserer Datenschutzerklärung.

Wordpress

Da mittlerweile rund 64,3% {Quelle: de.statista.com, Oktober 2022} aller Internet-Auftritte die Plattform „WordPress“ verwenden, gibt es zahlreiche empfohlene Maßnahmen, die externen Verbindungen zu kappen, bzw. auf die eigene Seite zu verlagern. Für mehr Details lassen Sie sich bitte von Ihrer Medienagentur oder Ihrem Webdesigner in Abstimmung mit Ihrem Datenschutzbeauftragten und Fachanwalt beraten.

Libreoffice 7 Sicherheitslücke

Die meisten Firmen setzen auf die Standardlösung: Microsoft 365 (oder Microsoft Office). Dabei ist man nur bei der Miet-Variante mit bester Sicherheit und schnellen Updates versorgt. Bei den Kaufvarianten (z. B. Office 2021 Home & Business) gibt es weder effizienten Makroschutz, noch neue Funktionen und Sicherheitsupdates nur alle 4 Wochen am Patchday. Diese wiederum kann man dann auch nicht zentral verteilen.

Ungeachtet davon setzen einige von Ihnen Libreoffice (oder zumindest den Writer davon) ein, um ausfüllbare PDF-Formulare zu erstellen (Meines Wissens die einzige kostenlose Software, die das kann).

Wenn Sie Libreoffice in Ihrem Software-Inventar finden, aktualisieren Sie bitte auf die Version 7.4.2.3 (bestenfalls in der x86_64 Variante). Ansonsten kann durch simplen HTML-Code, der ein einem Dokument ist, Schadcode auf die Zielsysteme eingeschleust werden. Libreoffice hat leider keinen automatischen Updater integriert, daher ist die Aktualisierung von Hand vorzunehmen

Makros und Sicherheitslücken in Makros gibt es nicht nur in Microsoft Office, sondern auch in Libreoffice!

https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/

Erneut Zero-Day Lücken in Exchange

Wieder wurden Sicherheitslücken in Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen - dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.

Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.

Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Microsoft Workaround gegen Sicherheitslücke und Anleitung

VLC Plus Player - Adware

Neulich entdeckt beim Software-Scan. Es tauchte in der Softwareliste statt des bekannten quelloffenen "VLC Media Player" von videolan.org ein VLC Plus Player von vlc.de oder andere Varianten und Namen auf.

Letztgenanntes Programm basiert zwar auf der aktuellen Version vom VLC Media Player, enthält aber einen anderen Installer und anderes Logowork. Statt des "Baustellen-Pylons" ist das Symbol ähnlich gefärbt und wie ein Vorfahrtschild gestaltet. Zusätzlich wird Adware im Setup mit ausgeliefert und die Anbieter verstoßen gegen die GPL-Lizenz, indem sie den modifizierten Quell-Code vom Programm und Setup-Skript (.nsis) nicht veröffentlichen. Ublock Origin sperrt mittlerweile diese und andere Webseiten und damit die Downloadmöglichkeit. Als Herausgeber fungiert eine "Aller Media eK".

Leider bekommt man bei der Google (oder BING) Suche nach "VLC" immer noch die Fake-Versionen als erstes angeboten. Es gilt jedoch "Finger weg davon".

Wir warnen ausdrücklich davor, solche Abwandlungen des Originals einzusetzen. Als Media-Player empfehlen wir weiterhin den Download des Originals. Wenn Sie Abarten des Programms in Ihrem Netzwerk finden, deinstallieren Sie diese umgehend. Im schlimmsten Fall reicht das nicht aus, weil der Installer Adware im System mitinstallliert hat. Hier hilft nur das Neu-Aufsetzen der betroffenen Geräte.

https://download.videolan.org/pub/videolan/vlc/last/win64/

Die ".exe" oder die ".msi" Zeile sind die möglichen Installationsprogramme. Direkter Download Link der Windows 64-Bit Version vom Original-Projekt

UEFI-Sicherheitslücke in Notebooks und PCs

vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen.

Sofern Sie die Windows 10 App "lenovo Vantage" installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads - suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen.

lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Liste

https://support.lenovo.com/de/en/product_security/LEN-94953#ThinkPad

Mobile Geräte mit Bitlocker verschlüsseln

In den BSI-Grundschutz-Katalogen 200-1 und im Prüfungsstandard 330 und auch aus der DSGVO lässt sich ableiten, dass mobile Geräte (Notebooks, Laptops) Daten (insbesondere personenbezogene Daten) verschlüsselt speichern müssen. Unter Windows steht dafür der Bitlocker ab den Pro-Versionen von Windows 10 zur Verfügung.

Gruppenrichtlinien

Die Einstellungen für den #Bitlocker lassen sich domänenweit über Gruppenrichtlinien festlegen. Die Einstellungen für BitLocker finden sich unter:

Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerks-verschlüsselung.

Hier gibt es den Eintrag BitLocker-Wiederherstellungsinformationen im Active Directory Domaindiensten speichern.
Auch lässt sich hier festlegen, ob beim Einschalten eine PIN eigegeben werden muss:

Dazu im Unterordner: „Betriebssystemlaufwerke“ => Zusätzliche Authentifizierung beim Start anfordern

Die minimale PIN-Länge lässt sich mit einer weiteren Richtlinie in dem Ordner auf 4 oder 6 Zeichen setzen (nach BSI Grundschutz ist eine 4-stellige numerische PIN zum Entsperren des Gerätes ausreichend, da damit noch kein Zugriff auf Daten möglich ist (dieser erfolgt erst nach der Windows Domänen-Anmeldung).

Bitlocker aktivieren

Nach Neustart des Rechners und Anmeldung als Domänen-Admin kann über die klassische Systemsteuerung oder den Windows-Explorer der Assistent zur Bitlocker-Laufwerksverschlüsselung gestartet werden.

Hierbei wird der Wiederherstellungsschlüssel zusätzlich auf einem Netzwerklaufwerk oder Speicherstick zu speichern sein.

Wiederherstellungsschlüssel aus AD auslesen

Auf einem der Domänencontroller (dort wo Admins die Schlüssel auslesen wollen) im Server-Manager zwei Features aktivieren: BitLocker Wiederherstellungskennwort - Viewer und Tools zur BitLocker-Laufwerks­verschlüsselung. Danach sollte in Active Directory-Benutzer und -Computer beim Öffnen eines Computer-Objektes ein neuer Reiter mit der Beschriftung BitLocker-Wiederherstellung zu sehen sein. Der Powershell-Befehl lautet:

$computer = Get-ADComputer -Identity CRECOVERY01
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties *

BSI-Werkzeug gegen Telemetrie

Jedes Windows System telefoniert, wenn das nicht bei der Installation, im Assistenten bei der ersten Anmeldung oder per Gruppenrichtlinie verhindert wird, nach Hause. Da das Zuhause in den vereinigten Staaten liegt, könnten die gesammelten Informationen aus datenschutzrechtlichen Gründen kritisch sein. Zu Telemetrie-Daten zählt nicht nur der Standort, sondern auch eine eindeutige ID des Endgerätes, Version, Patchlevel, mitunter sogar Nutzungsverhalten, Fehlerprotokolle und viele Statistik-Daten, die nicht übertragen werden sollten.

Wer das verhindern möchte (Admins oder auch die Anwender am Gerät), bekommt nun Unterstützung vom Bundesamt für Sicherheit und Informationstechnik (kurz: BSI).

Eine Sammlung von Gruppenrichtlinien

Gruppenrichtlinien zur Einschränkung der Telemetrie

System Activity Monitor

BSI-Internetseiten

Auf den Webseiten wird auch die Benutzung erklärt. Wenn Sie das Ganze über die Windows Einstellungen abschalten möchten, finden Sie es unter: Wählen Sie das Menü Start  aus, wählen Sie dann Einstellungen  > Datenschutz aus. Betrachten Sie ALLE Untermenüs und wählen die von Ihnen gewünschten Einstellungen aus (Empfehlung so viel wie nötig und sie es zu Ihrem Komfort gebrauchen, so wenig wie möglich).

BSI Tipps nicht nur vor dem Urlaub

In einem aktuellen Twitter-Post gibt das Bundesamt für #Sicherheit in der Informationstechnik, kurz #BSI Tipps zur Vorbereitung der digitalen und social Umgebung vor dem Urlaub:

In einem aktuellen Twitter-Post gibt das Bundesamt für #Sicherheit in der Informationstechnik, kurz #BSI Tipps zur Vorbereitung der digitalen und social Umgebung vor dem Urlaub:

Zitat: "Überprüft die Privatsphäre-Einstellungen eurer Social-Media-Accounts
Schaltet Standortinformationen nur ein, wenn ihr sie braucht
Macht ein Backup eurer Daten und speichert eine Kopie auf einem externen Datenträger
Schützt elektronische Geräte mit einem sicheren Passwort oder PIN-Code
Installiert alle Updates auf euren Geräten"

https://twitter.com/BSI_Bund

Diese Empfehlungen kann man nicht nur vor den Ferien beherzigen, sondern grundsätzlich. Da es eher selten vorkommt oder unerwünscht ist, den Laptop mit in den Urlaub zu nehmen und das "Dienstabteil" im Handy geschlossen/inaktiv sein sollte, werden dienstliche Telefone bei erlaubter privater Nutzung gern verwendet.

Gerade hier sollte die Sicherheit auch ganz oben angesiedelt sein. Denn obwohl in den meisten Fällen die Datenbereiche strikt getrennt sind, ist dennoch die Hardware bei einem Angriff kompromittiert und private Daten verloren.

Für Ihre Mitarbeitenden hat die Redaktion ein kleines Quiz zur Selbsteinschätzung vorbereitet. Hier können sie sich selbst testen, wie gut und sicher sie mit dem Thema umgehehen.

Sicherheitslücken in PHP 7 - 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos...) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Lenovo UEFI-Sicherheitslücken

Im Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt lenovo drei kritische Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren.

Gute Nachricht: sieht man die Liste durch, tauchen dort keine "Thinkpad" Modelle auf. Bei den uns bekannten Modellen findet die App "Lenovo vantage" auch kein Update. Sollten Sie dennoch die Consumer-Serie von Lenovo im Einsatz haben und Ihre Geräte auf der Liste wiederfinden, aktualisieren Sie zeitnah das BIOS/UEFI.

Wenn Sie Thinkpads wie das Thinkpad Yoga X13 oder Thinkcentre Modelle wie das Tiny M70Q einsetzen, ist es dennoch empfehlenswert, über die Vantage App die jeweils aktuellste UEFI-Version und Intel IME Firmware Updates installiert zu haben. Eine "Aktualisierungen-Suche" in der App schafft Ihnen Klarheit.

Sicherheitslücke in 7-ZIP

wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:

Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:

echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q

Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der "nach Hause telefoniert", und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.

Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei

7-Zip 21.07

Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im #Java Basierten Spring Framework kritische #Sicherheitslücken Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

[faq openfirst=0 numbered=1] Wann bin ich von der Lücke betroffen|=|Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt|| Was kann ich tun?|=|Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen|| Ist Spring4Shell so gefährlich wie LOG4Shell?|=|Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen|| Wo bekomme ich den Patch her?|=|Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software[/faq]

Umgang mit Java

• Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!
• Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
• Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
• Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen - oder stellen die Produkte ein. "Ein Leben ohne JAVA ist möglich und nicht sinnlos".

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

Sicherheitsbetrachtung Kaspersky Antivirus

viele von Ihnen haben die #Kaspersky #Virenschutz Produkte im Einsatz. Einige von Ihnen fragen sich, wie sicher die Verwendung der Software ist und ob es Alternativen gibt. Am Ende müssen Sie die Entscheidung für sich selbst treffen. Die folgenden Fakten, die wir für Sie zusammengestellt haben, sollen Ihnen diese Risiko-Anlayse erleichtern:

Risikobetrachtung

[procons numbered=1](+) Kaspersky labs, Ltd. ist ein Unternehmen mit Hauptsitz in Großbritannien, mit Tochtergesellschaften in vielen EU-Staaten- auch in Deutschland. Für die deutschen Erlöse ist die Deutschland-Tochter verantwortlich. Erlöse fließen über die EBERTLANG Distribution GmbH auf ein deutsches Konto ||(+)Software-Updates werden nur über Server in der Schweiz freigegeben über über Server außerhalb Russlands verteilt. Dies ist im Rahmen der ISO-Zertifizierung und SOC2 überprüft worden||(+)Quellcodes der Antivirus-Programme können in der Schweiz eingesehen werden, die Lösung ist ISO-zertifiziert ||(+)Die Lösung verträgt sich technisch optimal mit vielen Softwareprodukten||(+)alte Betriebssysteme wie Windows 7 und Server 2008 R2 können (noch) abgesichert werden ||(+)Administration und Alarmierung erfolgen zentral für den Sie ||(+)ein Urteil zur Klage von Kaspersky gegen BSI-Warnung vor dem OVG Münster steht noch aus ||(-) Die Firma Kaspersky beschäftigt aktuell und wird auch zukünftig Entwickler auf russischem Staatsgebiet beschäftigen ||(-) Die Software hat, wie jeder andere Virenscanner auch, Root-Rechte auf jedem Zielsystem. Das bedeutet grundsätzlich eine höhere Wirksamkeit ||(-) Der Firmengründer und CEO der Holding "Kaspersky Labs. Ltd." mit Sitz in Großbritannien, Eugen Kaspersky, wohnt in Russland ||(-) Das BSI warnt (Stand 15.März 2022) derzeit vor dem Einsatz von Kaspersky Antivirus. [/procons]

Alternativen

Microsoft bietet (ganz aktuell) im Rahmen der Microsoft 365 Mietpläne mittlerweile einen managebaren Virenschutz auch für Umgebungen unter 50 Benutzerlizenzen an (Microsoft (Azure) Defender mit Advanced Threat Protection). Eine Umstellung von Kaspersky ist aufwändig und es können keine "alten" Betriebssysteme abgesichert werden.

Die Schutzwirkung ist vergleichbar mit den Kaspersky Produkten.

Fazit

Die aktuelle BSI-Warnung vor dem Einsatz von Kaspersky gibt als Begründung Risiken an, die für nahezu jede Antivirus-Software gelten. Kaspersky ist einer der Weltmarktführer, daher wird das Risiko entsprechend hoch vom BSI bewertet. Inzwischen hat Kaspersky ein Statement zur Warnung veröffentlicht.

Im Moment sprechen viele Vorteile zunächst für den Weiterbetrieb von Kaspersky Antivirus. Der aufgezeigten Risiken sollte sich jede Führungskraft bewusst sein. Schlagartig auf einen anderen Virenschutz umzustellen, verschlechtert jedoch die Schutzwirkung für Altsysteme.

Wir sprechen uns damit aktuell weder für noch gegen Kaspersky Antivirensoftware aus. Mittelfristig - etwa bei Ablauf der Subscription - regen wir an, nach jeweils im Einzelfall zu erfolgender Risiko- und Vorteils- /Nachteilsabwägung, auf das integrierte Microsoft Produkt umzustellen. Dazu müssen alte Betriebssysteme modernisiert sein.

Kurzfristig empfehlen wir: Investieren Sie in Mitarbeiter-Awareness-Schulungen, um das Risiko für Angriffe zu verringern und kontrollieren Sie laufend die Berichte und Aktualität Ihres Virenschutzes und der Firewall-Infrastruktur.

Für Interessierte: Pressereview und Maßnahmen, die Kaspersky Labs zur Absicherung im Rahmen der SOC2-Zertifizierung der Software eingebaut hat:

https://www.kaspersky.com/about/compliance-soc2
https://www.kaspersky.com/about/iso-27001
https://www.faz.net/aktuell/wirtschaft/unternehmen/kaspersky-cybersicherheit-fuer-den-westen-ausgerechnet-aus-russland-17867825.html
https://www.faz.net/aktuell/wirtschaft/unternehmen/softwareanbieter-kaspersky-unter-verdacht-17867952.html
https://www.itmagazine.ch/artikel/seite/76682/0/.html
https://tarnkappe.info/artikel/nb65-riesen-blamage-mit-falschem-kaspersky-source-code-leak-216923.html
Stellungnahme von Kaspersky zum BSI-Artikel - PC-Welt am 15.03.2022
Auch das OVG-Urteil führt Gründe an, die für JEDEN Virenschutz gelten - Meinung von Fachjuristen dazu

eine Cyber-Versicherung möchte mehr Geld

Einige Kunden sind verunsichert aufgrund der Aufforderung einer Versicherung die aktuelle Virenschutzlösung bekannt zu geben. Die Konsequenz, sofern es sich um eine Lösung des Herstellers Kaspersky handelt, ist die Erhöhung der Selbstbeteiligung und die Aufforderung die Lösung zu ersetzen.

Viele andere Versicherungen sehen „im Rahmen und Umfang der Verträge die Nutzung von Kaspersky aktuell nicht als Gefahrerhöhung an“. Falls Sie betroffen sein sollten, lassen Sie Ihre Situation durch einen Fachanwalt individuell prüfen.

IT-Sicherheit – erhöhtes Risiko von Cyberangriffen

derzeit kursiert ein Schreiben vom Verfassungsschutz Baden-Württemberg: „Warnung Kritischer Infrastrukturen vor dem Hintergrund der aktuellen Entwicklungen im Ukrainekonflikt“, in dem der Verfasser Bedrohungen auflistet und Handlungsempfehlungen gibt.

Grundsätzlich ist festzustellen, dass die Zielgruppe des Schreibens nicht das klassische Handelsunternehmen ist, sondern die zur kritischen Infrastruktur gehörenden Energieversorger, Krankenhäuser, IT-Rechenzentren, Behörden und Verwaltungen.

Dennoch gelten die im Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI Standard 200-1) für die aktuelle weltpolitische Lage genau wie vor dem Krieg. Einzig das Risiko, angegriffen zu werden ist deutlich erhöht. Die Grundsätze der verwendeten Angriffsmethoden und die Maßnahmen, sich dagegen zu schützen, sind auch die gleichen wie vorher (DDOS-Angriffe, Verschlüsselungstrojaner und Ransomware). Das höchste Risiko besteht dabei durch die Mitarbeitenden. Organisatorische Maßnahmen können durch technische Aktualität ergänzt werden, es wird immer ein Restrisiko bleiben.

Beispiele für Handlungsempfehlungen und Must-Haves (nach BSI-Grundschutz)

• IT-Infrastruktur: Sind alle Router, Firewalls, Switches, Kameras, Server, IRMC, USVs, NAS-Geräte, Drucker und andere Geräte mit einer aktuellen Hersteller-Firmware ausgestattet?
• Firewall: Setzen Sie eine Firewall der aktuellen Generation mit SSL-Interception, Advanced Threat Protection, Content-Analyse auf den gesamten ein- und ausgehenden Traffic, zwei integrierten Gateway Virenscannern ein?
• Software: Microsoft Windows: Sind alle Server und Endgeräte mit Microsoft Windows Betriebssystemen auf dem aktuellen Stand (Sicherheitslevel vom letzten Patchtag)
• Software: Linux: Wenn Sie Linux-Server einsetzen – wird eine aktuell unterstützte LTS Variante eingesetzt (z.B. Ubuntu 18.04) mit allen Sicherheitspatches?
• Software: Anwendungen: Haben alle Anwendungen die aktuellen Sicherheitspatches? (Beispiele: Acrobat Reader, 7-ZIP, BGInfo, RDCMAN, Notepad++, weitere Tools
• Software: Browser: Setzen Sie ausschließlich Google Chrome für Enterprise in der aktuellen Version und Microsoft Edge für Enterprise, beide mit aktivierten Gruppen-Richtlinien ein, mit Google Chrome für Enterprise als Standardbrowser (schnellere Aktualisierung gegen Sicherheitslücken)
• Organisation, physischer Zugriff und Datenschutz: Sind alle Mitarbeiter im Umgang mit der IT insbesondere mit den Gefahren und aktuellen Bedrohungen geschult, Zugriffe eingeschränkt und dokumentiert?

IT-Sicherheit: und sie klicken doch

weil viele Spam Filter und Mitarbeiter, die immer noch gern alles anklicken englische E-Mails löschen, sind seit einiger Zeit Mails mit Schadsoftware Schaltfläche auf deutsch im Umlauf. Diese drohen dem Empfänger mit fürchterlichen Folgen, wenn er nicht auf den Link klickt. Ein besonders schlechtes Beispiel wird zwar von guten SPAM-Filtern kassiert, aber dennoch dazu führen, das ein geringer Prozentsatz auf den Link klickt:

Erinnert mich stark an das albanische, manuelle Virus aus den Anfängen der 90er Jahre. Die SPAM-Mails vermeintlicher Banken haben meist keine Rechtschreib-Fehler, allen gemeinsam ist aber, dass eine E-Mail mit einem Link darin verschickt wurde. Ein Beispiel:

Maßnahmen dagegen

• Verwenden Sie eine Firewall der aktuellen Generation mit Content-Filtering, SSL-Interception und Advanced Threat Protection
• Blockieren Sie unerwünschte Inhalte/Inhaltstypen auf Basis von Content Filtering
• Verwenden Sie eine Microsoft 365 Office-Variante und sperren per Gruppenrichtlinie die Ausführung von Makros (
  Achtung: bei den Kauf-Versionen wie Office 2021 Home & Business ist das nicht möglich!)
• Verwenden Sie einen aktuellen und zentral verwalteten Virenschutz wie Azure Defender oder Windows Defender mit Advanced Security Package und Intune zur Verwaltung
• Schulen Sie Ihre Mitarbeiter regelmäßig, weder auf Links in einer E-Mail zu klicken, noch Anhänge zu öffnen. Mittlerweile gibt es sichere Methoden, Excel und Word-Dateien bereitzustellen. Auch PDF-Anhänge sind mit Vorsicht zu genießen

Ändere Dein Passwort - Tag

Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag "Ändere Dein Passwort". Nachdem schon vor Jahren durch Studien mehrerer Universitäten belegt wurde, dass der Zwang, seine Kennwörter regelmäßig zu ändern genau das Gegenteil bewirkt - nämlich unsichere Kennwörter, muss das Motto des Tages modernisiert werden.

Aktuell wäre "Sichere Authentifizierung" ein zeitgemäßes Motto.

Hintergrund

Der Passwortwechsel-Zwang führt im Regelfall bei einem 7-Stelligen Passwort dazu, dass am Ende eine zweistellige Zahl hochgezählt wird und der Hacker nur noch ein fünfstelliges Passwort "knacken" muss.

Sicherer sind die folgenden Ratschläge:

1. Verwenden Sie für jede unterschiedliche Anmeldung (Internet-Seiten, Domain-Login, Smartphone, Apps-Login) ein anderes Kennwort
2. Erzeugen Sie diese Kennwörter entweder mit einem Kennwort-Generator (im Keepass ist auch einer enthalten) oder nach einer Formel wie Anfangsbuchstaben eines Satzes, den nur Sie kennen und der Sonderzeichen und Zahlen enthält
3. Benutzer-Kennwörter sollten mindestens 7 Zeichen, Groß- und Kleinschreibung und ein Sonderzeichen bestehen. Optimalerweise enthält es auch Leerzeichen
4. Andmin-Kennwörter liegen zwischen 8 und 10 Zeichen und unterliegen ebenfalls den Komplexitätsformeln.
5. Speichern Sie diese Kennwörter in einem Kennwort-Safe, der auch ohne Internet funktioniert und das Öffnen seines Kennwort-Safes Zwei-Faktor-Authentifizierung unterstützt (Keepass Pro Passwort Safe ist eine sichere Open-Source-Software mit lokalem, verschlüsseltem Safe für Windows, android und apple ios)
6. Verwenden Sie, wenn Anbieter dies bereitstellen, die 2FA auch für Internet-Anmeldungen. Microsoft und Google unterstützen das beispielsweise für seine Online-Dienste
7. Bei allen Seiten, die Geld bewegen (Banken, Sparkassen und andere Finanzdienstleister) ist 2FA mittlerweile Pflicht. Sie können meist per SMS-Token oder mit einer App den Freischaltcode bekommen zum Durchführen einer Transaktion oder nur zum Anmelden. Die App-Variante ist dabei meist günstiger, weil einige Institute bis zu 30ct pro SMS berechnnen

LOG4J Sicherheitslücke JAVA

Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden.

Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.

Handlungsbedarf

1. Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.
2. Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
3. Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).

Scan-Tool (nur für Windows)

Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit nicht Log4J in Hardwaregeräten oder Linux-Systemen) gibt es auf GitHub ein Befehlszeilen Werkzeug, das man auf jedem Windows-Server oder PC, auf denen JAVA installiert ist, ausführen muss. Es sucht (nur die angegebenen Laufwerke) nach anfälligen Bibliotheken und schreibt einen Bericht darüber. Die Java-Komponente aktualisieren oder entfernen (wenn die Software sie nicht benötigt), muss man immer noch:

Eine Beschreibung wie man das Werkzeug nutzt und der direkte Download sind hier beschrieben. An der administrativen Befehlszeile oder Powershell ist dann: Log4j2-scan c:\ --fix auszuführen und das Ergebnis auszuwerten.

https://github.com/logpresso/CVE-2021-44228-Scanner

Die gängigen Tools finden auch alte (Version 1.x) Bibliotheken von LOG4J. Im Regelfall eignet es sich, solche unbenutzten JAR-Dateien irgendwo hin zu isolieren und wenn keine Nebenwirkungen auftreten, sie dann zeitverzögert zu entsorgen. Lässt sich eine genutzte Software (die diese Bibliotheken und JAVA benötigt) nicht mehr nutzen, wenden Sie sich bitte an den jeweiligen Software-Hersteller.

Ein Leben ohne JAVA ist möglich (und nicht sinnlos)

Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.

Eine weitere Sammlung von Softwareprodukten und Hersteller-Erklärungen ist auf Gist zu finden. Allerdings unterscheidet die Liste nicht, ob das Produkt ein verwundbares LOG4J enthält oder nicht. Wenn Sie die von Ihnen verwendeten Produkte in der Liste durchklicken, erfahren Sie, ob Ihre Produkte betroffen sind oder gar kein LOG4J enthalten.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Neulich in Outlook

Wie der "Kudnenservice" der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das neue Verfahren S-CERT leert sich dann Ihr Girokonto, nachdem Sie alle Zugangsdaten eingegeben haben, automatisch ;)

Mittlerweile machen die kriminellen Organisationen auch recht wenig Rechtschreibfehler. Dennoch wird es immer wieder Mitarbeitende geben, die in solchen E-Mails (mal abgesehen davon, dass hier der Spamfilter erfolgreich markiert hat) auf die enthaltenen Links klicken. Die E-Mail selbst enthält zusätzlich 1-Pixel Elemente, die dem Absender melden, dass die von ihm gewählte E-Mail-Adresse existiert (in dem Fall mein Spam honeypot).

Dennoch kann man nicht oft genug wiederholen: Weder ein Geldinsitut, noch ein namhafter Lieferant schickt einen Link in einer E-Mail, geschweige denn eine Rechnung als Word-Datei oder einen Anhang, der bösartigen Code enthält. Selbst wenn Sie von einem Ihnen bekannten Absender eine Excel- oder Word-Datei erwarten, öffnen Sie diese nicht und aktivieren Sie keinesfalls Makros darin (Bei Microsoft 365 können Admins per Richtlinie alle Makros und Weblinks in solchen Dokumenten blockieren, bei den Kaufversionnen wie Office 2021 Home & Business geht das nicht)

Fazit

Sensibilisieren Sie Ihre Mitarbeitenden REGELMÄßIG im Umgang und Verhalten mit E-Mails. E-Mails, die HTML-Code und Links enthalten, sollten gar nicht erst geöffnet, sondern ungesehen gelöscht werden.

Drucken oder nicht - Septemberpatch

Update vom 21.09.2021: Wer seine Systeme bestmöglich absichern möchte, kann nun doch das September-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb empfehlenswert, weil eine viel kritischere Lücke (MSxHTML) geschlossen wurde, die das Ausführen von Schadcode bereits in der Vorschauansicht des Windows Explorers erlaubte.

Zusätzlich sollte darauf geachtet werden, dass die Druckertreiber der verwendeten Drucker auf dem aktuellen Stand sind. Hierzu müssen sie auf dem Druckserver aktualisiert werden. Mit den Registry-Einstellungen sollte dann auch der User auf einem Terminalserver mit dem neuen Treiber versorgt werden, ohne dass es zu einer Fehlermeldung kommt. Hier die Codezeilen der .reg-Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RpcAuthnLevelPrivacyEnabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Ursprünglicher Artikel

Für diejenigen von Ihnen, die noch die alte Version von #Windows 10 im Einsatz haben (#1809, aktuell ist 21H2) gilt. Sie dürfen das obengenannte September-Patch-Release nicht installieren, weil Nebenwirkungen aufgrund der erhöhten Sicherheitseinstellungen auftreten können. Haben Sie es bereits über die automatische Updatefunktion installiert, sollten Sie es wieder deinstallieren.

Die Probleme (#Drucken funktioniert nicht mehr) können auch bei Windows Server 2019 (build 17763) auftreten. Betroffen sind dort jedoch nur der Druck- und die Terminalserver (RDS, Citrix). Auch in diesem Fall führen Sie ein Update-Rollback durch.

Wie finden Sie heraus, ob das Update installiert ist?

Start/Ausführen/Winver : Wird  Build 17763.2183 angezeigt, ist das Update installliert

gilt für Druckserver 2019, Terminalserver 2019 und alte Windows 10 Versionen 1809 (end of support)

Windows 10 Maßnahmen

Stattdessen ist es ratsam, betroffene Rechner auf die aktuelle Windows Version 21H2 zu aktualisieren. Da das von der oben genannten alten Version einer Migration gleichkommt, dauert das pro System zwischen 40 und 60 Minuten. Danach ist die aktuelle Windows 10 Version installiert, wo nach bisherigen Erkenntnissen das Sicherheitsupdate vom September (dieses hat eine andere KB-Nummer, nämlich kb5005565) keine Beeinträchtigungen auftreten.

Hintergrund: Microsoft unterstützt die aktuelle Windows Version immer 18 Monate lang. In diesem Zeitraum sollte auf das aktuelle Funktionsupgrade hochgezogen werden. Dieses wird auch (wenn man es administrativ nicht verhindert), bei ausreichender Internetverbindung mit angeboten und installiert. In allen anderen Fällen ist das System nicht mehr im Microsoft Support und Nebenwirkungen bei Sicherheitspatches sind wahrscheinlich.

Aktuell gilt für Windows 10, Version 21H2 (19044): Mit Erscheinen von Windows 11 im Oktober 2021 erhält Windows 10 bis Oktober 2025 nur noch #Sicherheitsupdates. Dennoch sollten Sie alle Systeme auf diese letzte Version 21H2 bringen.

Tipp: Den Windows 10 Stand erkennen Sie, wenn Sie Start/Ausführen: WINVER eingeben. Dort muss Version 21H2 (Build 19044.1237) stehen.

Windows Server 2019 Maßnahmen

warten, bis Microsoft eine Lösung anbietet. Solange diese Server nicht aktualisieren und die möglichen Risiken (MSTHML-Lücke und Print Nightmare Lücke) kalkulieren.

Jetzt auch noch HIVE Nightmare

Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die
Print-Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nicht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Crypto-Angriffe – wenn nur noch eine Datensicherung hilft

Wenn ein #Crypto #Angriff erfolgt, ist trotz technischer Sicherungsmaßnahmen meist ein Mitarbeiter Schuld, der auf Links oder Anhänge klickt, die nicht das enthalten, was sie vorgeben. Ein Restrisiko bleibt also trotz aktuellem Virenscanner und einer Generation 2 Firewall mit SSL-Interception und Content Filtering.

Hat man eine #Datensicherung – egal auf welchem Medium – würde diese aber auch schon verschlüsselte Daten wegsichern. Die meisten Trojaner installieren sich zunächst und legen dann zeitverzögert los. Sie schlüsseln Dokumente, die im Schreibzugriff des Benutzers liegen oder verschaffen sich über Zero-Day-Lücken Adminrechte.

Wer dann eine Bandsicherung von der Zeit vor dem Befall hat, kann man in der Regel noch unversehrte Dateien rücksichern. Entscheidend ist also die letzte erfolgreiche Datensicherung, bevor Daten verschlüsselt wurden.

Generell gibt die Faustformel 3 – 2 – 1 für Datensicherungen, d.h. auf einem Band, auf einem Datenträger und in der Cloud oder auf einem Offline-Medium in anderem Brandabschnitt).

• Zusätzlich gilt: Nach BSI sind erfüllen nur Offline-Sicherungen (physikalisch getrennt) auf passive Medien (Geräte ohne Elektronik wie LTO-Bänder) den Grundschutz.
• Ferner müssen die Daten ordnungsgemäß und sicher gelagert und beide Stufen der Datensicherung (SQL-Backup und Veeam Backup Reports) täglich kontrolliert werden
• Zusätzlich müssen regelmäßige Bandsicherungsprüfungen (Proberücksicherungen auf anderem Gerät) durchgeführt werden, um sicher zu sein, dass das, was gesichert wurde, auch wiederherstellbar ist.

Windows Print Nightmare Lücken - geschlossen

Updates verfügbar: 07.07.2021

Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die Print Nightmare Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht „end of life“ sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind.

Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt):

In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall – beziehungsweise deaktiviert sind:

• NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
• UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

In allen #Windows Betriebssystemen (für Clients und Server) stecken neue #Sicherheitslücken, die bisher noch nicht geschlossen wurden. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst „Druckwarteschlange“ gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.
Update: Mittlerweile hat Microsoft die Lücke als kritisch auf einer Skala von 1 bis 10 mit 8.1 eingestuft. Mit einem offiziellen Patch ist nicht vor nächstem Dienstag, dem Juli-Patchday 2021 zu rechnen.

Ursprünglicher Artikel

In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue Sicherheitslücke, die bisher noch nicht geschlossen wurde. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den #Druckspooler (Druckwarteschlange) Dienst zu deaktivieren - was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.

Funktionsweise eines Angriffs

Im Prinzip stehen einem Angreifer an jedem Gerät Angriffspunkte zur Verfügung, wo der Druckerwarteschlangen Dienst läuft. Das ist ab Werk auf allen Windows Clients – unabhängig von der Version der Fall und auf Druckservern. Wie ein Angreifer diese Geräte erreicht, steht auf einem anderen Blatt – meistens indem er Benutzer in Mails oder Webseiten auffordert, auf irgendwas zu klicken. Das angeklickte Schadprogramm wird dann im Benutzerkontext ausgeführt und greift als erstes alle Systeme an, wo der Druckdienst läuft. Hier werden dann Schadprogramme injiziert und verschlüsseln zB alle Daten.

Bis zum Patchday bzw. bis ein Fix zur Verfügung steht, ist es also eine Risikoabwägung, ob man den Workaround nutzt und nachher wieder deaktiviert (auch hier können Nebenwirkungen entstehen) oder das Risiko eingeht, dass etwas eingeschleust wird.

Möglicher Workaround 

Es gibt aber auch einen Workaround, der den Zugriff auf den Druckserver sperrt. Damit soll weiterhin gedruckt werden können. Möchte man eine Konfigurations-Änderung am Druckserver vornehmen (also zum Beispiel einen neuen Drucker installieren oder eine Einstellung ändern), muss man die Änderung wieder zurücknehmen. Das Ganze gilt, solange bis Microsoft einen Notfall Patch liefert.

Die benötigten (administrativen) Powershell-Skripte hier (Benutzung auf eigenes Risiko, Nebenwirkungen sind nicht ausgeschlossen)

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object  System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.AddAccessRule($Ar)

Set-Acl $Path $Acl

und zum Deaktivieren der Sperre:

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.RemoveAccessRule($Ar)

Set-Acl $Path $Acl

Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available

Fabio Viggiani, Blog-Artikel