Heise Security Tour 2019: CyberCrime, ATP, PowerShell & Co.

Am 30.4. fand in Berlin der erste Stopp der Heise Security Tour 2019 statt. Die Fachveranstaltung griff Themen vom allgemeinen Überblick der aktuellen Lage der IT bis hin zu spezifischen Angriffsmethoden auf.

Die Evolution von Malware

Begonnen wurde die Tour mit der Keynote unter dem Titel ‚CyberCrime NextGen‘. In diesem Vortrag wurde die aktuelle Bedrohungslage mit einem Fokus auf die Evolution von Malware/Schadcode betrachtet.

In den letzten Jahren konnten Bedrohungen in zwei „Lager“ klassifiziert werden (s.g. Generation 1), welche allgemein als ‚CyberCrime‘ und ‚ATP‘ bezeichnet wurden.

Beim CyberCrime waren hauptsächlich kriminelle Hintergründe die Ursache für Angriffe. So zählen Erpressungen (Ransomware), CryptoJacking bzw. Diebstahl von Logindaten zu den Hauptangriffen dieses Lagers. Das Lager ATP hingegen zeichnete sich hauptsächlich durch politische Motive (Sabotage, Spionage bzw. die ersten Formen des Cyberwar) aus.

Die Angriffsmuster der beiden Lager unterscheiden sich deutlich voneinander. Bei Angriffen aufrund von CyberCrime wurden viele Ziele wahllos attackiert. Man kann das Motto „Die Masse macht es“ anwenden. Technisch waren die Angriffe sehr einfach (z.B. durch Bulkspam/Bulkphishing) gehalten. Wurde ein Angriff durch das Lager ATP initialisiert, waren die Ziele dediziert ausgewählt. Alle Angriffe wurden methodisch und mit einer detaillierten Planung durchgeführt.

Ab Mitte 2018 wurden jedoch erste Angriffe gemeldet, die eine Verschmelzung dieser beiden ‚Welten‘ zeigten. Dies bedeutet für Unternehmen, dass Schutzkonzepte überdacht und angepasst werden müssen, da die Professionalisierung der CyberCrime-Angriffe merklich gestiegen ist und sich an die Qualität der ersten ATP-Angriffe annähert.

Die DSGVO & die Cloud

Der zweite Vortrag befasste sich mit den bisher gewonnen Erfahrungen zur DSGVO, die seit Mai 2018 aktiv ist. Die durchsetzenden (und laut Verordnung auch beratenden) Behörden sind aufgrund von Unterstützungsanfragen und Meldungen zu Vorfällen überlastet. Zusätzlich besteht für Unternehmen eine gewisse Rechtsunsicherheit, da bisher wenige Urteile gefällt wurden. Gerichtlich festgelegt ist, dass eine SSL Verschlüsslung von Webseiten (HTTPS) ’state of the art‘ ist. Diskussionen gibt es zur Pflicht von regelmäßigen Penetrationstests zur Belegung der IT-Sicherheit.

Wie schon vor dem Inkrafttreten der DSGVO nehmen Clouddienste einen Großteil der Diskussionen ein. Hier ist die Unsicherheit vor allem bei der Löschung von Daten groß.
Das BSI hat die Unsicherheit mit der Aussage, dass keine sichere Löschung von Daten in Clouddiensten möglich sei, zudem verstärkt. Offen ist, wie diese Thematik gelöst wird.

Zurück zur Technik

Vor und nach dem Mittagessen wurde es technisch. Es wurde die Angriffstechnik ‚Spear-/Dynamite Phishing‘ inkl. dem Vorgehen der Angreifer vorgestellt. Besonders interessant war der Vortrag zum Thema PowerShell als Angriffswerkzeug. Da die PowerShell per Design einen großen Funktionsumfang hat, mit dem sehr umfassende Berechtigungsstrukturen einhergehen, rückt die PowerShell mehr und mehr in den Fokus von Angreifern. Mit verhältnismäßig wenigen Berechtigungen kann ein Angreifer auf einem Zielsystem umfassende Manipulationen vornehmen. Eine komplette Deaktivierung der PowerShell im System ist nicht möglich, dennoch kann man die Ausführungsrahmen definieren, um nur zwingend notwendige Ressourcen/Module ansprechen zu können. Diese Restriktionen sind aber nur mit den aktuellen Versionen der PowerShell möglich.

Neben den Vorträgen stand der Austausch mit weiteren Admins bzw. Dienstleistern im Vordergrund. Hier ist festzustellen, dass viele Unternehmen die Sicherheitsstrategie noch nicht an die aktuellen Bedrohungsszenarien angepasst haben.

Kontaktieren Sie jetzt Ihren CEMA-Spezialisten!

Klicken Sie hier, um E-Mails von CEMA zu erhalten

Vincent Cloud

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Wir setzen auf unserer Website Cookies ein. Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung. Mehr Informationen

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close