Artikel von unseren Mitgliedern

Ransomware lähmt Unternehmen, Verwaltung und Kritische Infrastrukturen

/in /von

Die Meldungen von Institutionen, die teilweise tagelang vom Internet getrennt waren bzw. sich als Maßnahme zur Schadensreduktion selber vom Internet getrennt haben, häuften sich zum Jahresende 2019. Viele der Vorfälle waren auf die Schadsoftware Emotet und die damit in Verbindung stehenden Malware-Familien zurückzuführen. Nach fast zwei Wochen „Urlaub“ ist Emotet zurück und infiziert erneut Institutionen und Privatpersonen auf der ganzen Welt. Selbst ein anschauliches Video einer Infektion der initialen und unsichtbaren ersten Schadsoftware ist verfügbar. Das Perfide daran ist, dass Betroffene erst den Angriff bemerken, wenn die Verschlüsselung bereits begonnen hat. Die Dunkelziffer von Betroffenen, die keine Mitteilung machen, ist vermutlich sehr hoch.

Allein im November und Dezember 2019 waren unter anderem folgende KRITIS-Sektoren durch Emotet-Angriffe betroffen:

  • Staat und Verwaltung
    • Stadtverwaltung Frankfurt
    • Kammergericht Berlin
    • Bundesanstalt für Immobilienaufgaben
  • Gesundheit
    • Klinikum Fürth
    • Universität Gießen
    • Spital Wetzikon (Schweiz)
  • Telekommunikation
    • Everis (Spanien)
  • Medien
    • Rundfunksender Cardena SER (Spanien)
  • Transport und Verkehr
    • RavnAir (USA)
  • Energie
    • Stadtwerke Langenfeld

Eine kontinuierlich gepflegte Liste von Ransomware-Infektionen führt der Twitter Nutzer @GerritOpper.

Ursachen für Ransomware-Infektionen

Als ein Beispiel für eine entsprechende Schadsoftwareinfektion kann die mit Emotet in Verbindung stehende Malware-Familie genannt werden. Diese dringt initial über ein Office-Dokument mit Makros in ein Netzwerk ein. Makros sind aktiver Code, der in Word, Excel und ähnlichen Dokumenten eingebunden werden kann. Derartiger Code wird bereits seit Jahrzehnten für die Verteilung von Schadsoftware verwendet, hat aber in den letzten Jahren eine Renaissance erlebt.

Folgende Ursachen erleichtern diese Art der Infektion:

  • Die Standard-Einstellungen der Microsoft-Produkte ermöglichen das Ausführen von Code in Makros. Die erscheinenden Warnungen sind viel zu unauffällig und werden so vom Benutzer ignoriert. Viele Organisationen wollen diese Standardeinstellungen nicht anpassen.
  • Eine Software-Monokultur fördert die Verbreitung. Mit den Vorteilen der Standardisierung geht der Nachteil einher, dass ein Angreifer ebenfalls Skaleneffekte nutzen kann. Wenn ein Angriff fertig entwickelt wurde, kann er weltweit zum Einsatz kommen.
  • Benutzer wurden nicht oder nur unzureichend für das Thema sensibilisiert. Die Awareness für Gefahren und die Konsequenzen des Zulassens aktiver Inhalte in Office-Dokumenten ist noch ausbaufähig.
  • Die IT-Abteilungen setzen Sicherheitsmaßnahmen nach Stand der Technik nur unzureichend um, Filter für eingehende E-Mails würden in Verbindung mit restriktiven Regeln eine Infektion wirksam verhindern. Die Weiterverbreitung innerhalb der betroffenen Institution wird durch unzureichende Regeln für die IT-Administration erleichtert.

Technische Details und Hintergründe zu Emotet, auch im Zusammenspiel z.B. mit Trickbot und Ryuk sind von Thomas Hungenberg aus dem CERT-Bund des BSI veröffentlicht worden.

Warum sind gerade Krankenhäuser, die öffentliche Verwaltung und Universitäten (nicht KRITIS) betroffen? Die Ursachen sind sicherlich vielfältig. Unter anderem wurde aber in den letzten Jahren so an der IT und dem Personal als auch der Ausbildung selbiger gespart bzw. andere Prioritäten gesetzt, dass ein erheblicher „Schuldenberg“ bezüglich der Umsetzung von Sicherheitsmaßnahmen entstanden ist.

Forderungen für KRITIS

KRITIS-Betreiber sind nach § 8a BSI-Gesetz dazu verpflichtet, Sicherheitsmaßnahmen nach Stand der Technik umzusetzen. In der Praxis erfolgt diese Umsetzung allerdings nur sehr schleppend. Insbesondere auch, weil Sanktionen und eine effektive Prüfung fehlen. Hier müssen andere Kontrollmöglichkeiten als die im Moment üblichen und weitestgehend folgenlosen Überprüfungen (alle zwei Jahre) gefunden werden.

Die Bewältigungskapazitäten sind insgesamt zu gering, wenn sich die Fälle weiter häufen. Institutionen sind schlichtweg überfordert, wenn die gesamte Institution oder Teile davon nicht mehr arbeitsfähig sind. Dies geht aber über gewöhnliche IT-Sicherheit und -Betrieb hinaus. Ein effektives und erprobtes Business Continuity Management muss in der heutigen Zeit zur Steigerung der Resilienz auch den Ausfall von IT-Infrastruktur durch Schadsoftware beinhalten. Wie lange dauert es, Backups wieder einzuspielen wenn die restliche Infrastruktur offline ist? Wenige Organisationen können hier eine belastbare Aussage treffen.

KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

/in /von

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Das zentrale Zugriffsgateway des Herstellers Citrix, welches auch in Leitstellen für Polizei und Feuerwehr, in Krankenhäusern und Stadtwerken, aber auch in vielen Unternehmen zum Einsatz kommt, wird aktuell angegriffen und ausgenutzt. Dabei wird eine im Dezember 2019 bekannt gewordene Sicherheitslücke ausgenutzt, die es erlaubt, beliebigen Schadcode auf den IT-Systemen betroffener Unternehmen und KRITIS-Betreiber auszuführen. Das BSI bestätigt, dass es derzeit aktive Angriffe gegen anfällige Systeme gibt.

Im Dezember 2019, vor 23 Tagen, ist eine schwerwiegende Sicherheitslücke in Citrix Netscaler VPN Gateways bekannt geworden. Diese Schwachstelle erlaubt es einem Angreifer, beliebigen Code auf Systemen auszuführen und anschließend weiter in betroffene Infrastrukturen vorzudringen. Details hierzu wurden von Tripwire veröffentlicht. Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar. Es erfolgt zudem bereits eine aktive Ausnutzung – das heißt, dass anfällige KRITIS Betreiber bereits kompromittiert sein können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits ab dem 07.01.2020 begonnen, Unternehmen in Deutschland zu informieren. Dennoch sind tausende von Systemen weiterhin anfällig und bieten Angreifern ein mögliches Einfallstor in deren Umgebungen. Zwar konnten seit dem 07.01.2020 bereits über 500 anfällige Systeme geschützt werden, allerdings sind laut BSI über 3.600 Systeme in Deutschland weiterhin anfällig. Unter den Betroffenen sind weiterhin auch Kritische Infrastrukturen.

Eine Recherche in entsprechenden Suchmaschinen für IT-Systeme (z. B. Shodan) ergibt, dass neben Baumarktketten und Automobilzulieferern auch KRITIS Betreiber mit unter denen dabei sind, die keine Gegenmaßnahmen umgesetzt haben. Dazu gehören unter anderem auch:

  • Kreisverwaltungen
  • Landwirtschaftskammern
  • Leitstellen für Polizei und Feuerwehr
  • Krankenhäuser
  • Stadtwerke

Die nachfolgenden Screenshots zeigen detaillierte Systeminformationen von ausgewählten Systemen, die über öffentlich verfügbare Suchmaschinen abgerufen werden können. Eine dieser Suchmaschinen ist Shodan – das Google für IT-Systeme. Diese durchsucht das Internet nach öffentlich erreichbaren Systemen und erlaubt es Benutzern nach bestimmten Attributen zu suchen. So können die anfälligen Systeme und die zugehörigen Organisationen auch einfach den KRITIS Unternehmen zugeordnet werden.

Ciritx Fail 1/3

Ciritx Fail 2/3

Ciritx Fail 3/3

Der Vorfall zu dieser Sicherheitslücke zeigt erneut, dass sowohl auf Seiten der Softwarehersteller, der KRITIS Betreiber und ihrer IT-Dienstleister, als auch bei den Behörden der Umgang mit Schwachstellen weiterhin verbessert werden kann und muss. Solange Betreiber und Behörden mit der Aktualisierung von verwundbaren Systemen hinterherhinken und sowohl Softwarehersteller als auch IT-Dienstleister Schwachstellen nicht umgehend beheben bzw. gar nicht erst erzeugen, solange sind dann eben auch die Angreifer den Verteidigern der Kritischen Infrastrukturen einen Schritt voraus. Ein direkter Zugriff auf wesentliche Anlagenteile in Kritischen Infrastrukturen ist zwar oftmals nicht möglich; sind aber Angreifer in der Lage, in der Umgebung eines KRITIS Betreibers Fuß zu fassen, so kann zumindest indirekt auch auf die Versorgungsleistung und Verfügbarkeit Einfluss genommen werden. Dies zeigen die durch Erpresser vorgenommenen Ransomware-Angriffe und dadurch bedingten Ausfälle auf Stadtverwaltungen, Versorgungsunternehmen, Universitäten und Krankenhäuser in den letzten Monaten.

Das BSI hat zwar betroffene KRITIS Betreiber und Unternehmen informiert, allerdings scheinen entweder die Organisationen und ihre IT-Dienstleister mit der Aktualisierung überfordert zu sein, die Dringlichkeit nicht verstanden zu haben oder die Informationen nicht die richtigen Adressaten gefunden zu haben. Ein sicherer Betrieb unserer Kritischen Infrastrukturen erfordert qualifiziertes Personal sowohl bei Behörden, als auch bei den Betreibern und ihren IT-Dienstleistern. Dies schließt auch ein, Schwachstellen bewerten zu können und zeitnah Korrekturmaßnahmen zu etablieren. Darüber hinaus müssen IT-Betreiber und ihre IT-Dienstleister sich mit der Frage der Haftung konfrontiert sehen. Werden die falschen Personen durch Behörden oder Sicherheitsforscher kontaktiert? Müssen Korrekturmaßnahmen wie Patchmanagement und zugehörige Konfliktpotentiale wie Einhaltung von SLAs in Vertragswerken beim Auslagerungsmanagement (Outsourcing) richtig adressiert werden? Sind aufgrund von Wochenenden oder Feiertagen wichtige Ressourcen nicht verfügbar? Dann müssen KRITIS-Betreiber,  Unternehmen und Behörden ihre Organisationsstrukturen und Maßnahmen überdenken und neu ausrichten.

Nicht nur die direkten Anlagen und Komponenten von Kritischen Infrastrukturen selbst müssen gemäß § 8a BSI-Gesetz nachweislich sicher betrieben werden, sondern auch die Systeme, die für den Zugriff auf die Infrastrukturen genutzt werden, beispielsweise für die Fernadministration. Dazu gehören insbesondere auch mit dem Internet verbundene Büro-Systeme von Administratoren, die einen Zugriff auf wesentliche interne Ressourcen zulassen.

 

Studie warnt: Digitale Souveränität des Staates gefährdet

/in /von

Die vom Bundesministerium des Inneren  beauftragte Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ findet deutliche Worte über die Abhängigkeit der deutschen Behörden von nur wenigen zentralen Softwareherstellern. Dies gilt insbesondere für Microsoft, da deren Produkte „in allen Schichten des Software-Stacks“ vielfach eingesetzt werden. Dies führe zu „Schmerzpunkten bei der Bundesverwaltung, die im Widerspruch zu den strategischen Zielen der IT des Bundes stehen“. Die Verfasser der Studie kommen zu dem Schluss, dass ein dringender Handlungsbedarf bestehe, da eine eingeschränkte Informationssicherheit und (datenschutz)-rechtliche Unsicherheiten die „digitale Souveränität“ des Staates gefährden.

Eine mögliche Handlungsoption für diese Misere sei der Umstieg auf Open Source Software (OSS). Dies sei ein „probates Mittel“, um die „digitale Souveränität der Bundesverwaltung langfristig zu sichern“.

Die Studie folgt in diesem Punkt unserer Forderung nach Open Source Software in KRITIS, so dass wir als AG KRITIS diese Empfehlung ausdrücklich unterstützen. Insbesondere im Bereich der kritischen Infrastrukturen sehen wir den Einsatz quelloffener Software, bei Bedarf auch unter treuhänderischer Verwaltung, als dringend geboten. Neben der notwendigen Transparenz z.B. im Bereich von Sicherheitslücken oder versteckten Zugängen (Backdoors), kann nur so gewährleistet werden, dass Produktions- und Industrieanlagen über den gesamten Lebenszyklus von teilweise vielen Jahrzehnten sicher betrieben werden können.

Die daraus resultierende Steigerung der Resilienz kritischer Infrastrukturen unterstützt unmittelbar eine defensive Cybersicherheitsstrategie, die der Staat dringend etablieren muss, um seine Bevölkerung angemessen zu schützen.

Millionenfach Patientendaten ungeschützt im Internet

/in /von

Der jüngste Skandal über millionenfach Patientendaten, die ungeschützt im Internet von jedermann abrufbar waren zeigt erneut, dass noch großer Handlungsbedarf bei der IT-Sicherheit in Arztpraxen und Krankenhäusern besteht. Konkret handelt es sich in dem vom BR und ProPublica recherchierten Fall um ein Bildarchiv, dem „Picture Archiving and Communication System“ oder kurz „PACS“ genannt. Hier werden zentral die Bilder von MRT, CT oder digitalen Röntgengeräten gespeichert. Durch ein Konfigurationsfehler waren diese inkl. der dazugehörigen Patientendaten ohne Passwort öffentlich einsehbar.

Leider ist dies kein Einzelfall. Eine einfache Suche mit spezialisierten Suchmaschinen wie Shodan offenbart eine Vielzahl potenziell fehlkonfigurierter und damit öffentlich einsehbarer Server oder Datenbanken. Hier stellt sich prinzipiell die Frage, warum diese Systeme direkt am Internet angebunden und nicht durch zusätzliche Sicherheitsmaßnahmen geschützt sind. Dies stellt den Stand der Technik dar und dieser ist nach § 8a BSI-Gesetz für Krankenhäuser mit mehr als 30.000 vollstationäre Bettenbelegungen im Jahr einzuhalten.

Besonders Problematisch ist, wenn für einen erfolgreichen Datenzugriff noch nicht einmal ein Passwort eingegeben werden muss. Doch auch bei einem gesetzten Passwort mangelt es leider oft an einer ausreichenden Komplexität, so dass dieses durch einfaches Erraten herausgefunden werden kann. Sofern Zugriff z. B. aufgrund von Fernwartung erforderlich ist, sollte hier der hinreichende Schutz über Mechanismen der Multifaktor-Authentikation (MFA) realisiert werden.

In der Regel sind solche Systeme zudem stark veraltet und so über Schwachstellen und dafür frei verfügbare Exploits angreifbar. Beispiele hierfür sind die Windows-Sicherheitslücken EternalBlue (2017) und BlueKeep (2019), für die schon länger Sicherheitsupdates bereitgestellt werden.

Inwiefern auch KRITIS-Betreiber als kritische Infrastruktur betroffen sind und somit zur Absicherung nach Stand der Technik verpflichtet waren oder sogar ein Bußgeld ausgesprochen wurde, ist aktuell nicht bekannt.

Allerdings sollten bereits bei der Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO) die oben genannten Sicherheitsprobleme nirgendwo auftreten dürfen. Ob und in welcher Höhe hier ein Bußgeld wegen Verstoß gegen Art. 32 DSGVO verhängt wird, bleibt daher ebenfalls abzuwarten.

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

/in /von
Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!