Beiträge

Dateilose Infektion: Einbruch ohne Spuren

Posted 13. Februar 2017 / Autor: Dennis Schirrmacher  www.heise.de/security

Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

Dem Sicherheitsteam einer Bank fielen Anomalien in ihrem Netzwerk auf, doch die Computer sind offensichtlich nicht mit einem klassischen Trojaner infiziert. Unter Mithilfe von Kaspersky machten sie sich auf die Suche nach dem Ursprung und diagnostizierten eine dateilose Infektion diverser Windows-Computer.

Normalerweise hinterlässt der Einbruch in ein Netz Spuren in Form von Trojaner-Dateien auf dem PC; häufig finden sich auch Tools, die etwa zum Abgreifen von Daten oder die Kommunikation genutzt wurden. Nicht so in diesen Fällen. Die Untersuchung der Festplatten förderte keine verdächtigen Dateien zu Tage. Erst bei einer Analyse von Registry und Arbeitsspeicher wurden die Forensiker fündig.

Schadcode im RAM

Konkret spürten Kasperskys Experten etwa eine Meterpreter-Payload im RAM auf, die wohl ein Metasploit-Exploit einer nicht näher beschriebenen Sicherheitslücke dort platzierte. Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte. Darüber hinaus nutzten die Angreifer unter anderem die Administrations-Tools sc und netsh.

Antiviren-Software und auch viele Forensik-Tools setzen primär auf die Analyse von Dateien; sie haben es demzufolge in solchen Fällen schwer, da sie ins Leere greifen. Dass sich Schadcode nicht in einer Datei, sondern in der Windows-Registry versteckt, ist kein Hexenwerk – so etwas gab es bereits 2014. Doch jetzt kommt die dateilose Infektion offenbar im großen Stil bei gezielten Einbrüchen in Firmennetze zum Einsatz.

Weltweite Angriffe

Solche Übergriffe hat es Kaspersky zufolge in über 40 Ländern gegeben; bei über 100 Firmen entdeckte man bereits derartige Powershell-Skripte in der Registry – auch heute seien die Angreifer noch aktiv. Sie sollen es vor allem auf die Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen abgesehen haben.

Aktuell verdächtigt Kaspersky die Hacker-Gruppen GCMAN und Carbanak. Carbanak sorgte Anfang 2015 für Aufsehen, als bekannt wurde, dass die Gruppe weltweit 1 Milliarde US-Dollar von Banken erbeutet hat. Dabei sollen sie die Arbeitsweise von Bankangestellten imitiert haben und blieben so lange unentdeckt.

IT-Sicherheitsgesetz: Was es für den Mittelstand bedeutet

 

Posted 16. Dezember 2016 / Autor: Vaclav Demling  www.mittelstand-die-macher.de

Ganz so neu ist es nicht mehr, das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme„. Doch viele Unternehmen schieben die Beschäftigung mit dem IT-Sicherheitsgesetz (IT-SiG) auf die lange Bank. Gerade Mittelständler scheuen die Auseinandersetzung mit der Regelung. Obwohl sie davon häufiger betroffen sind als vermutet – wenn auch nur indirekt. Zeit also, sich das IT-Sicherheitsgesetz mal genauer anzusehen.

Die am 25. Juli 2015 in Kraft getretene Vorschrift zielt auf Unternehmen, deren Arbeit für das Gemeinwesen und die öffentliche Sicherheit unabdingbar sind. Dabei handelt es sich um so genannte Kritische Infrastrukturen (kurz KRITIS). Dazu gehören die Branchen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

An die 500.000-er-Regel denken

Neben dem Branchenkriterium gibt es auch ein Größenkriterium, das gerne als 500.000-er-Regel bezeichnet wird. Diese besagt, dass alle Unternehmen unter das IT-Sicherheitsgesetz fallen, die mehr als 500.000 Kunden bedienen oder von deren Versorgungsleistung mindestens 500.000 Personen abhängig sind. Diese Schwelle erreichen in manchen Fällen auch Mittelständler.

Gänzlich ausgenommen vom IT-Sicherheitsgesetz sind Kleinstunternehmer, die weniger als zehn Mitarbeiter beschäftigen. Und auch wenn Sie unter zwei Millionen Euro Jahresumsatz erwirtschaften, können Sie sich zurücklehnen. Alle anderen sollten sich mit dem IT-Sicherheitsgesetz auseinandersetzen. Mehr als die genannte Ausschlussdefinition gibt es nämlich nicht.

Was fordert das IT-Sicherheitsgesetz?

Der Gesetzgeber hat im Gesetz einige Pflichten für Betreiber kritischer Infrastrukturen vorgesehen. Gleichzeitig wurden die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet.

  • KRITIS-Betreiber müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und mindestens alle zwei Jahre überprüfen lassen.
  • Schwerwiegende IT-Sicherheitsvorfälle bei KRITIS-Unternehmen sind dem BSI zu melden.
  • Telekommunikationsunternehmen haben ihre Kunden zu warnen, wenn ein Anschluss für Angriffe benutzt wird sowie bei der Beseitigung von Störungen zu beraten.
  • Betreiber von Webseiten, etwa Online-Shops, müssen Kundendaten und IT-Systeme besser schützen.

Die Vorgaben für KRITIS, die betroffene Unternehmen zu erfüllen haben, benötigen finanzielle und zeitliche Ressourcen. Branchenspezifische Details regeln Rechtsverordnungen. Solche Verordnungen hat das Bundesministerium des Innern (BMI) bereits für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung erlassen. Den zweiten Teil der KRITIS-Verordnung für die Branchen Finanzen, Transport und Verkehr sowie Gesundheit wird das BMI voraussichtlich Anfang 2017 veröffentlichen.

KRITIS-Unternehmen haben nach dem Inkrafttreten von branchenspezifischen Verordnungen zwei Jahre Zeit, angemessene organisatorische und technische Sicherheitsmaßnahmen zu ergreifen. Das ist etwa durch ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen Norm ISO 27001 möglich. Ein entsprechendes Zertifikat belegt, dass das ISMS auch tatsächlich funktioniert.

Verpflichtungen werden durchgereicht

Die 500.000-er-Regel könnte viele Unternehmen zur Untätigkeit verleiten. Allerdings wäre das ein großer Irrtum. Denn auch wenn Sie als kleinerer Mittelständler nicht direkt vom IT-Sicherheitsgesetz betroffen sein sollten, kann das Thema früher oder später auf Ihrem Tisch landen. Großunternehmen werden ihre Zulieferer zwingen, die strengeren Standards ebenfalls einzuhalten.

Direkt vom Gesetz betroffene mittelständische Unternehmen sowie indirekt betroffene Zulieferer und Dienstleister sollten möglichst schnell die eigenen IT-Sicherheitsvorkehrungen und die entsprechende Dokumentation überprüfen. Beziehen Sie Ihre Partner ein, kommunizieren Sie Ihre Nachweise und Zertifikate. Schaffen Sie Vertrauen.

Prüfen Sie zudem, inwieweit Sie Ihre Produkte und Dienstleistungen im Sinne des IT-Sicherheitsgesetzes anpassen müssen und welche finanziellen Mittel und zeitlichen Ressourcen Sie dafür benötigen. Planen Sie eine entsprechende Vorlaufzeit ein. Wenn Sie erst 2018 mit Maßnahmen anfangen, könnte es zu spät sein. Sie sollten die zweijährige Übergangsfrist nicht bis zum letzten Tag ausnutzen.

Wenden Sie sich an Experten

Die Folgen des IT-Sicherheitsgesetzes und der zugehörigen Verordnungen werden sich früher oder später auch auf den Mittelstand in seiner Funktion als Zulieferer und Dienstleister auswirken. Bei der Umsetzung, der für Sie relevanten Verordnung, sind Sie aber nicht völlig auf sich gestellt. Sie können und sollten die Beratung des BSI in Anspruch nehmen.

Weiterführende Links: