:quality(80)/p7i.vogel.de/wcms/87/c9/87c9de83a0b8dc7e66965534fbe1a8f1/0115533419.jpeg "Ein neues Gesetz soll den digitalen Datenfluss zwischen den beteiligten Ämtern ermöglichen. (© hkama - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/a6/e5a65be078413abb875e219f322b4672/0115563029.jpeg "(Bild: Who is Danny – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/71/cb71803743c9d326c511d30e11db0fb6/0115563477.jpeg "(Bild: Ekaterina – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/d2/5fd29d53b78dae757b1d04ae747e69e0/0115515687.jpeg "Martina Klement (l.) und Anne Lolas bei der offiziellen Eröffnung des Open-Source-Kompetenzzentrums. (© ITDZ Berlin)")
:quality(80)/p7i.vogel.de/wcms/fd/34/fd34e46b63ea255c09f41f436a575bb0/0115566847.jpeg "T-Systems betreibt die sogenannte Google-Distributed-Cloud-Hosted-Lösung (© Deutsche Telekom AG)")
:quality(80)/p7i.vogel.de/wcms/87/a2/87a2c728b89f60a0ce34ae2db6037552/0115542567.jpeg "(© Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/5f/95/5f95d4e5d30716c75c6c34c5017f55f5/0115544337.jpeg "Auch Amazon mischt jetzt im Chatbot-Business mit. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/e0/00e0bba5de5f963ac92cb339f7d1791b/0115512906.jpeg "Holger Dyroff, COO und Managing Director von ownCloud (© ownCloud)")
:quality(80)/p7i.vogel.de/wcms/69/1e/691eabb715598fb098f8a9aa348f5e04/0115502826.jpeg "(Bild: Mediaparts – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9e11599a73caa57fcabec81f6da8e4/0115441909.jpeg "(Bild: Coloures-Pic – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/fd/97fdeedd6bca4ef4742a8e192802602f/0115457037.jpeg "Die Hochschule des Bundes für öffentliche Verwaltung in Brühl (© cm)")
:quality(80)/p7i.vogel.de/wcms/b4/0f/b40fd5186a1ede0442db7e5201f281a0/0114860609.jpeg "Was kann die Verwaltungspraxis von der Wissenschaft lernen? Die eGovernment-Kolumne klärt auf – diesmal zum Thema „Antipublic Bias“. (Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/78/7c786254d9ceb3ce1819fed318fb6745/0115439133.jpeg "Beim FIT-Kongress 2023 wurden herausragende Frauen aus der IT – und erstmalig auch aus dem Public Sector sowie dem Healthcare-Bereich mit den WIN-Awards 2023 ausgezeichnet. (Bild: www.hamann.photo)")
:quality(80)/p7i.vogel.de/wcms/09/08/090892ed70064b4cba6489cec1f83f07/0115441274.jpeg "Das NEGZ vernetzt Expert:innen aus Verwaltung, Wirtschaft und Wissenschaft, um die Digitalisierung der deutschen Verwaltung zur unterstützen und anzutreiben. (© NEGZ)")
:quality(80)/p7i.vogel.de/wcms/59/0d/590dbc49700836dafcd0bb211a5aed0d/0115385334.jpeg "Unter dem Motto „Endgegner Bürokratisierung weichkochen!“ stellten sich (v. l.) Marko Haas (Leiter des Bereiches Digitalstrategie und Digitale Transformation in der Deutschen Rentenversicherung Bund), Marie-Dominique Enjalbert (Projektleitung eWA, OZG-Umsetzungsprojekt für die elektronische Wohnsitzanmeldung, Amt für IT und Digitalisierung Hamburg), Michael Mätzig (Geschäftsführender Direktor Städtetag Rheinland-Pfalz), Ann Cathrin Riedel (Geschäftsführerin NExT e.V., Vorsitzende LOAD e.V., Digitalrätin des BMDV zur Umsetzung der Digitalstrategie des Bundes, Digitalrätin Sachsen-Anhalt) den Fragen von Basanta Thapa (Geschäftsführer des NEGZ). (© MACH AG / Jakob Börner)")
:quality(80)/p7i.vogel.de/wcms/35/cb/35cb811222a30e525d3829054deecdc1/0115287745.jpeg "„Zukünftig können digitale Anträge deutschlandweit über das zentrale Bürgerkonto, die BundID, oder mit dem Online-Ausweis gestellt werden“, sagte Bundesinnenministerin Nancy Faeser auf der SCCON 2023 (© Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/9d/779d8995085bc7a6f2aa9b0b47fd3405/0115335433.jpeg "Thomas Feld, Vice President Data Economy, Materna (© Materna)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7211e1e92ddfcbf3943b3463b84a57/0115335396.jpeg "(©Fraunhofer)")
:quality(80)/p7i.vogel.de/wcms/59/b2/59b2dda70740cf2ab38cebbfd705a26b/0115335552.jpeg "(© CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a375e7cd1fb301470b9e06a7b65e537/0115080189.jpeg "(©CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/cc/2a/cc2ac732f86986106bca29ec116f940d/0115384347.jpeg "Das NEGZ ist eine Non-Profit-Organisation. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/94/d8943e3a3350b35494f18184ba902639/0115383747.jpeg "Zentrum für Legistik: Gesetzgebungslehre beim Bundesjustizministerium. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/5e/b85edd08fd2f6325082e24fb46839b73/0115383258.jpeg "Open CoDE: Souveräne Netzwerk-Infrastruktur für die Verwaltung (Bild: aga7ta – stock.adobe.com)")
Trends und Taktiken in den Zeiten von COVID-19 5 Cybercrime-Trends in der Corona-Krise
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/3b/5e3bf6ecbcc11/form-solutions-zeichenfl--che-1.png "form-solutions_Zeichenfläche 1.png (Form-Solutions GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/61/26/6126551f995c4/liferay-logo-full-color-digital.png "liferay-logo-full-color-digital (Liferay GmbH)"){kind=logo}
Die Corona-Krise hat wenig überraschend Cyberkriminelle unterschiedlichster Couleur auf den Plan gerufen. Dabei sind ihre Kampagnen nicht unbedingt neu oder besonders ausgefeilt. Vielfach bedienen sich bei existierenden Malware-Kits „von der Stange“, die sich mit vergleichsweise wenig Aufwand aktualisieren lassen.
Das Threat Research Team von Securonix hat sich in den letzten Wochen vor allem der Beobachtung neuer Trends und Szenarien gewidmet und zusätzlich einige grundlegende Empfehlungen für Security Operations Teams zusammengestellt.
Trend 1: Malware Domains
In den vergangenen Wochen tauchten vermehrt Domains auf, die Wörter wie „corona“ oder „covid19“ verwenden. Dabei wurden Versuche beobachtet, auf die Registry-Einstellungen von Anwendungen zuzugreifen, um Anmeldedaten oder andere Benutzerinformationen abzuziehen. Daneben gibt es diverse Formen von Ransomware-Angriffen auf das Gesundheitswesen, aber im Zuge des großen Informationsbedürfnisses der Bevölkerung auch auf Endnutzer. Die Domain „coronavirusapp[.]site” verbreitet beispielsweise einen falschen COVID-19-Tracker. Erst nach Zahlung von 100 Dollar in Bitcoin innerhalb einer Frist von 48 Stunden erhalten die Opfer angeblich Informationen zur Entschlüsselung ihrer Daten. Der Malware-Autor hat allerdings keine der sonst üblichen Verschleierungstaktiken gewählt, um den Quellcode zu verbergen. Der Schlüssel lautet „4865083501”.
Was man tun sollte
- Vorsichtshalber Firewall-Regeln auf Proxy-Geräten deaktivieren, um die Kommunikation zwischen diesen Domains zu unterbinden
- Passwörter der Benutzer ändern, die diese Domains besucht haben
- Einige der böswilligen COVID-19 Domains sind neu und nutzen ausschließlich Community-basierte Threat Intelligence-Dienste, die nicht unbedingt komplette Transparenz bieten. So hat sich die Kategorisierung der „coronavirus-map[.]com“ Domain seit dem 18. März 2020 von „Miscellaneous/UnknownÅ zu „Phishing“ geändert. Es empfiehlt sich, einige dieser Domains generell zu blockieren, unabhängig von ihrem jeweiligen Score.
Trend 2: Phishing
Etliche Phishing-Kampagnen machen sich die Pandemie zunutze. eMails, die scheinbar von offiziellen Einrichtungen kommen, Updates enthalten oder Verhaltensmaßregeln, haben nicht selten eine Schadsoftware im Gepäck. Allein in der ersten behördlich verordneten Home-Office-Woche tauchten fünf verschiedene Phishing-Kampagnen auf.
Was man tun sollte
- Überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt
- Auf Anzeichen von C2-Aktivitäten achten – beides effektive Maßnahmen, um Frühwarnzeichen zu erkennen.
Trend 3: Remote/VPN
Eine größere Herausforderung ist das hohe Login-Volumen bei 2-Faktor- und Multifaktor-Anwendungen. Die Sicherheitsforscher haben beispielsweise einen Anstieg um Faktor 8 bis 10 bei MFA-Enrollment-Anfragen allein in einem Zeitfenster von 72 Stunden registriert.
Dazu kommt eine Flut von technischen Support-Anfragen. Angreifer haben die aktuelle Schwachstelle schnell identifiziert. Mithilfe von altbekannten Social-Engineering-Methoden mithilfe von öffentlich zugänglichen Informationen aus Business-Netzwerken wie LinkedIn, versuchen die Angreifer über scheinbare Support-Anfragen an Einmal-Passwörter zu gelangen oder ihre eigenen Geräte für die Multifaktor-Authentifizierung anzumelden.
Was man tun sollte
- Verhaltensanomalien zwischen Benutzerkonten und MFA erkennen; gleiches gilt für die Geräte, die über MFA von diesen Konten aus auf das Netzwerk zugreifen.
- Man darf angesichts der Situation an gängige Social-Engineering-Methoden erinnern und Support-Teams auf diverse aktuelle Scaming-Möglichkeiten hinweisen
- Rund um den Globus arbeiten Menschen jetzt zumindest zeitweise vom Home Office aus, was zu einem 50- bis teilweise sogar 100-prozentigen Anstieg bei der Nutzung von VPNs und anderen Remote-Authentifizierungsmethoden geführt hat. Behalten Sie deshalb VPN-Anomalien im Blick und überprüfen Sie sämtliche Aktivitäten, die auf die VPN- oder Remote-Authentifizierung folgen.
Trend 4: Missbrauch von Benutzerkonten
Die Sicherheitsforscher beobachteten, wie sich ein Vertragsnehmer von verschiedenen Ländern aus über ein Firmen-VPN einzuloggen versuchte. Einige der Standorte fielen allerdings aus dem Rahmen des firmenüblichen. Insgesamt erfolgten über dieses Benutzerkonto Anmeldungen aus 26 unterschiedlichen Ländern über eine Zeitspanne von 14 Tagen. Derart unterschiedliche Standortinformationen sind oft ein Zeichen für ein kompromittiertes Konto.
In einem anderen Fall authentifizierte sich ein Benutzer innerhalb von kurzer Zeit von zwei unterschiedlichen Orten aus, in diesem Fall den USA und Deutschland. Sich aus Deutschland anzumelden war für diesen Benutzer allerdings eher untypisch. Zudem hatte er große Dateimengen aus dem Content Management System „SharePoint" zusammengetragen und per eMail an eine Empfänger-Domain geschickt, die seinem Zunamen enthielt. Das verwendete Threat Model setzte die beiden Szenarien mit den Informationen aus unterschiedlichen Datenquellen zusammen. Es handelt sich um einen Insider-Betrug mit Identitätsdiebstahl.
Telefonkonferenzsysteme und mit ihnen verbundene Instant-Messaging-Optionen kommen jetzt vermehrt zum Einsatz. Damit wächst die Wahrscheinlichkeit, dass Benutzer auch nicht autorisierte Anwendungen installieren. Eine nicht autorisierte Version eines populären Instant Messengers löste nach Aussagen der Sicherheitsforscher für die Anwendung untypische Befehlseingaben aus. Solche Vorkommnisse lassen sich oft schwer erkennen und einordnen, weil die entsprechenden BYOD-Sicherheitsmaßnahmen fehlen.
Was man tun sollte
- Benutzer-basierte Überwachung einsetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Zahl der Anmeldeversuche zu erkennen
- Richtlinien zum richtigen Gebrauch und potenziellen Missbrauch von Passwörtern erneut kommunizieren – insbesondere angesichts der veränderten Arbeitsbedingungen
- Strenge Endpunkt-Kontrollen, die verhindern, dass nicht autorisierte Anwendungen auf Unternehmensgeräten benutzt werden
Zum Abschluss einige grundsätzliche Empfehlungen
- 1. Durch die stark gestiegene Zahl von Mitarbeitern, die von zuhause arbeiten, ist der Stellenwert von VPN-Sicherheit enorm gestiegen. VPN-Ports von VPNs wie OpenVPN (1194) oder SSL VPN (TCP/UDP 443, IPsec/IKEv2 UDP 500/4500) sollten akribisch überwacht und die Konten am besten über eine Multifaktor-Authentifizierung geschützt werden. Die Login-Daten sollten in die bestehende SIEM/UEBA-Lösung einfließen und dort analysiert werden. In den kommenden Wochen sind DDoS-Angriffe auf VPN-Server nicht unwahrscheinlich.
- 2. EDR-Logs sollten neue Bedrohungsmodelle integrieren. Sie erkennen, wenn Prozesse unübliche Beziehungsabfolgen nutzen und überwachen Netzwerkverbindungen speziell über DNS und HTTP(S) sowie Dateimodifikationen aller Art.
- 3. Unterbinden Sie das Installieren von „privaten“ Anwendungen, gegebenenfalls zentral.
- 4. Setzen Sie alle Aktivitäten zu Benutzer- und Systeminformationen in Beziehung. Das stellt sicher, dass nur dazu berechtigte Nutzer im Netzwerk aktiv sind.
Über den Autor: Oleg Kolesnikov ist VP Threat Research bei Securonix.
(ID:46714810)
:quality(80)/p7i.vogel.de/wcms/da/3b/da3ba7ed74f63b61d367a962fa33b446/0112006966.jpeg "Multi-Faktor-Authentifizierung (MFA): Mehr Sicherheit durch mehrstufige Authentifikation (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/a1/7aa16bd780dd610e8b2cfe41a723f092/0108982542.jpeg "Eine digitale Identität umfasst alle elektronischen Daten, die zur Zuordnung einer Person zu einer physischen Identität benötigt werden. Dazu werden Benutzername und Passwort, Chipkarten, Token oder biometrische Daten genutzt (© Kittiporn Kumpang – Getty Images via Canva.com.png)")