181. Newsletter - sicherheitskultur.at - 28.02.2022

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Reports

CISA (Security Behörde der USA): 2021 Trends Show Increased Globalized Threat of Ransomware. Das ahnten wir bereits, aber hier ist es offiziell. ;-)

Kaspersky bringt Statistiken zu Mobile malware evolution 2021: Malware auf Handys. Da ist eine betrachtliche Zahl von Banking-Trojanern und auch Ransomware auf Handys. :-(

zdnet berichtet über verstärkte Aktivitäten gegen MacOS: Mac-Malware auf dem Vormarsch

 

2. Die große Web3-Kritik (inkl. Blockchain, Kryptowährungen und NFTs)

Im letzten Monat gab es viel kritische Berichterstattung zu dem neuen 'Renner'/'Hype' web3. Das ist das neue Schlagwort das sagen will, dass die Zukunft des Webs vor allem in Blockchain-Technologien steckt.

Hier 3 kritische Kommentare dazu:

Der 3. Punkt ist eine sehr gründliche Analyse von 'tante' und ist extrem empfehlenswert (die ersten 14 Seiten beschreiben die Technologie und die Konzepte dahinter, danach folgen seine Kritikpunkte). Hier die umfassenden

Noch einige weitere Artikel zur derzeit größten Techno-Kontroverse: The Crypto Backlash Is Booming - Web3 is making some people very rich. It's making other people very angry. Der Artikel beschreibt eine heftige Kontroverse in den Social Networks wo sich offenbar Befürworter und Gegner von Blockchains, Kryptowährungen, NFTs, etc. heftigst beflegeln. Das geht zum Glück eitgehend an mir vorbei.

Beware the FOMO Bullies of Technology. Ein Tech-Journalist ist ziemlich skeptisch: einerseits sieht er in web3 nicht die Lösung der Probleme die es lösen soll, anderseits hat er Bedenken, dass er vielleicht nicht genug Phantasie hätte - so wie 1995 nur wenige daran glaubten, dass 'das Internet' sich durchsetzen könnte. Ich bleibe aber bei den Skeptikern, siehe die Argumente von tante weiter oben.

Einer der NFT-Handelsplätze (OpenSea) hat wegen den vielen Betrugsfällen das Handtuch geworfen: NFT-Marktplatz stoppt Transaktionen wegen "wuchernden" Betrugs (Die Firma bestätigte, dass mehr als 80% der auf dem Marktplatz gehandelten NFTs in betrügerischer Absicht erzeugt wurden). Hier noch die Detailbeschreibung eines NFT-Scams: Anatomy of an NFT art scam: How the Frosties rug pull went down .

Und mal positiv: Wiener Polizei klärte Bitcoin-Betrug mit 2,7 Millionen Euro Schaden auf.

Hier geht es zu meiner Fortsetzung im Juni zu Web3. Im Sept. 2023 wird berichtet, fast alle NFTs seien nun wertlos.

Dann noch der Ukraine-Aspekt

Da jetzt beschlossen wurde, dass russische Banken aus dem internationalen Banken-Kommunikationssystem SWIFT ausgeschlossen werden taucht natürlich die Frage auf, wie wir denn dann z.B. unser Erdgas bezahlen werden. Eine der Spekulationen dazu nennt Kryptowährungen als alternative Option. Das muss nicht unbedingt Bitcoin sein, es gibt auch sog. Stablecoins wie Tether (USDT), USD Coin von Circle oder PAX deren Kurs an den US$ gebunden ist: Ukraine: Swift-Bann könnte mit Kryptowährungen umgangen werden. Andere spekulieren, dass mittelfristig eine Kopplung an die chinesischen Staatskryptowährungen wie e-CNY/e-Yuan eine Option für Russland sein könnte. Russland scheint sich ja vor dem Angriff in China 'rückversichert' zu haben, u.a. durch Handelsverträge zu Nahrungsmitteln und Energie. Es scheint mir fast so, als hätte Putin mit den Sanktionen gerechnet und alternative Optionen bereit.

Hier mein Haupt-Artikel zu diesen Themen: Blockchain, Smart Contract, Bitcoin und andere Kryptowährungen.

 

3. Apple AirTags als Stalking-Device - wie kann Mann und Frau sich gegen AirTag-Stalker schützen

Kurze Antwort, nicht ganz einfach, speziell für Android-Nutzer, die müssen das Problem erahnen und eine geeignete App installieren. Hier mein Text zu Apple AirTags und Stalking

 

4. Cloud-Services und Sicherheit

David Fuhr räumt mit der Idee auf, bei Cloud-Services (speziell für Firmen) wäre einer der großen Vorteile, dass man sich um die Sicherheit nicht mehr kümmern müsste - ein Komplett-Service eben. In seinem Artikel Patch me if you can: Alles as a Service - ist doch sicher, oder? räumt er mit dieser Idee auf.

Er weist darauf hin, dass die großen Cloud-Anbieter für die Kunden in Europa weder Zeit noch Lust, sprich finanzielle Motivation haben, jeden IT-Dienst ihrer Kunden im Einzelnen zu verstehen. Der Kunde kann er aus verschiedenen Betriebsmodellen wie Standard, Premium, Dedicated, Bronze, Silber, Gold et cetera auswählen und hoffen, dass damit genügend seiner Sicherheits-Checkboxen erschlagen sind, bevor sein Budget erschöpft ist.

Es geht dabei um die sog. Protection Level Agreements (PLA) wie Logging, Auditberechtigungen, Alarmierung und Vorfallsbehandlung bis zu konkreten Maßnahmengarantien in Sachen Patchmanagement, sichere Löschung, Verschlüsselung oder Protokollierung. Um vieles davon muss sich der Cloud-Kunde mehr oder weniger selbst kümmern, abhängig von den Beträgen, die er beim Cloud-Anbieter zu zahlen bereit ist. Meine eigene Erfahrung in einer großen Bank: Viele der Sicherheitsfeatures wie erweitertes Logging, Mandantenfähigkeit auch in der Administration, etc kosten extra.

Seine Zusammenfassung: Security gibt es SaSS - 'as a Self-Service'. Das passt zusammen mit meinen früheren Beobachtungen, dass ein sehr großer Teil der Sicherheitsverletzungen in Cloud-Systemen Fehler in der Administration oder der Konfiguration sind, die der Cloud-Anbieter eben nicht verhindert (verhindern kann?). Die Details im oben verlinkten Artikel.

Eine traurige Fortsetzung gibt es im August 2023-Newsletter mit einer traurigen Statistik und einem Bericht über den totalen Datenverlust eines dänischen Cloud-Providers nach Ransomware-Befall.

 

5. Immer wieder Ransomware: Zahlen oder Nicht-Zahlen, inkl. Ukraine-Aspekte

Speziell für kleinere Unternehmen mit wenig IT-Knowhow und dem Bedarf einer schnellen Wiederherstellung gilt wohl leider alzu oft bei Cyber-Erpressung: Lösegeld zahlen kann attraktiver sein als Hilfe von Profis (auch wenn das nicht immer zum Erfolg führt).

Die Profi-Angreifer analysieren die Vermögensverhältnisse der Opfer und passen die Forderungen entsprechend an. Für kleine Unternehmen, die z.B. 10 000 € zahlen sollen ist dieser Betrag manchmal geringer als das was Security-Experten verlangen würden + die Wiederherstellungskosten und Ausfallzeiten. Das stärkt und finanziert leider natürlich die ganze Ransomware-Industrie. Zu Bedenken ist, dass nach der Zahlung und Entschlüsselung die Angreifer typischerweise weiter Zugang zum System haben und den können sie dann auch weiterverkaufen - das ist alles Vertrauenssache. :-(

Der Artikel schreibt auch darüber, dass es in D. Ideen gibt, Lösegeldforderungen nicht 'versicherbar' zu machen. In Ö gibt es zu solchen Versicherungen Auflagen der FMA (Finanzmarktaufsicht). Punkte sind da: Versicherungsschutz geheim halten, externe Sicherheitsberater einsetzen und Anzeigepflicht an die Polizei. Das mit der Anzeige versuchen leider viele Opfer zu vermeiden, sie haben Angst, dass die Datenschutzbehörde ihre Sicherheitsmaßnahmen hinterfrage. Laut einer Studie der US-Firma Malwarebytes bezahlen in Deutschland rund 40 Prozent aller Unternehmen, die angegriffen werden.

Ein weiterer Artikel berichtet, was nach Zahlungen passieren kann: Ransomware victims are paying up. But then the gangs are coming back for more. In einer Studie von Proofpoint haben 58% der betroffenen Unternehmen gezahlt, aber häufig mehr als einmal. Von denen, die zahlten, haben nur 54% sofort funktionierende Schlüssel bekommen. Ein Drittel musste noch mal Geld einwerfen. 10% der Betroffenen verweigerten die zweite Zahlung und mussten dann doch sich selbst helfen. Weitere Forderungen wurden auch mit drohender Datenveröffentlichungen, bzw. Publikation des Datenverlustes begründet. Ein anderer Experte beschreibt die Situation so: "Hat man allerdings bezahlt, ist man auch auf einer Liste als potenzielles Angriffsziel, das bereit ist, zu bezahlen."

Hier einige Zahlen zur Entwicklung: Ransomware tracker statistics.

Auch die kritische Infrastruktur ist wohl zunehmend betroffen. 80 Prozent der KRITIS-Betreiber und Unternehmen, die zur kritischen Infrastruktur wesentlich beitragen, sind nach einer Studie von Claroty 'The Global State of Industrial Cybersecurity 2021 bereits Opfer eines Ransomware-Angriffs geworden: Ransomware trifft Europas industrielle Steuersysteme und Betriebstechnik so häufig wie IT-Systeme. Ein weiterer Artikel zu Angriffen auf Industrie: LockBit, Conti most active ransomware targeting industrial sector.

Ukraine-Aspekte

Genau diese Conti-Gruppe verkündet aktuell auf Twitter, dass sie hinter russichen Regierung stehen und kritische Infrastruktur angreifen werden, falls ein Land die russischen Aktivitäten behindern sollte. Anderseits wird auch berichtet, dass wohl nicht alle Mitglieder des Conti-Teams das so sehen. (Auch die Ukraine hat eine aktive Ransomware-Szene)

Zu den Äußerungen von Conti passt auch, dass Menschen, die Firmen bei Ransomware-Vorfällen helfen, berichten, dass seit einigen Monaten die großen Angriffe mit Lösegeldforderungen über 40 000 € seltener geworden sind. Es liegt der Verdacht nahe, dass viele dieser Angreifer schon seit Monaten mit Vorbereitungen für die Ukraine beschäftigt sind. In der Ukraine wird nicht mit Ransomware, sondern mit DestructionWare angegriffen, sog. Wiper, die Daten sofort unwiederbringlich löschen. Aber die Techniken der Ransomware-Kriminellen sind dafür genauso geeignet.

Ein Podcast: The Extortion Economy bringt 5x 21 min. Hintergrundinformationen zu Ransomware.

Hier zum vorigen Beitrag zu Ransomware.