Social Engineering ist mindestens so alt wie die Märchen der Gebrüder Grimm. In der Geschichte "Der Wolf und die sieben jungen Geißlein" wendet der Wolf verschiedene Tricks an, um sich als die Mutter der Geißlein auszugeben. Am Ende gelingt es ihm, die Geißlein zu überlisten, und sie öffnen ihm die Tür, was für sie verheerende Folgen hat. Dieses Märchen lehrt, dass man scheinbar vertrauten Merkmalen wie Aussehen und Stimme nicht uneingeschränkt trauen sollte.

KI: Der Wolf im Schafspelz

KI kann in vielen Bereichen die Arbeit erleichtern, doch sie birgt auch Risiken: Zum einen sollte man einer KI niemals uneingeschränkt vertrauen, da sie auf große Datenmengen unterschiedlichster Quellen trainiert wird, um Muster zu erkennen und Entscheidungen zu treffen. Wenn diese Daten unvollständig, voreingenommen, ungenau oder fehlerhaft sind, kann die KI falsche Schlussfolgerungen ziehen. Man erhält dann ungenaue oder fehlerhafte Antworten, die in sich plausibel klingen können. Zum anderen ermöglichen neue Technologien raffiniertere Angriffe. Insbesondere im Bereich des Social Engineerings können Angreifer nun einfacher, schneller und gezielter vorgehen, um uns ebenso zu täuschen, wie der böse Wolf im Märchen. Zukünftig wird es schwieriger sein Phishing-Angriffe zu erkennen. Im oben genannten Märchen täuscht der Wolf mit geschickten Tricks vor, eine bekannte Figur zu sein, um das Vertrauen seiner Opfer zu gewinnen. Heute sprechen wir von "Deepfakes" wie Voice Cloning sowie Bild- und Video-Manipulation. Genau wie die Geißlein im Märchen sollten wir vorsichtig sein, wem wir vertrauen und die Türe öffnen!

Zu diesem Thema haben wir an der Bunten Nacht der Digitalisierung einen Vortrag gehalten. Nachfolgend finden Sie das Video vom Vortrag als gekürzte Fassung.

Funktionsweise einer künstlichen Intelligenz

Vereinfacht ausgedrückt basiert eine KI auf statistischen Methoden, Wahrscheinlichkeiten und Mustererkennung. Durch das Training mit großen Datenmengen lernt sie, welche Muster in den Daten auftreten und wie Sprache verwendet wird. Ein KI-Sprachmodell wird mit umfangreichen Textdaten trainiert, die einen großen Teil des dokumentierten menschlichen Wissens umfassen. Dadurch kann es Vorhersagen darüber treffen, welche Wörter in einem bestimmten Kontext sinnvoll sind. Der Unterschied zwischen einem Huhn und einer Kuh wird von der KI erkannt, weil sie in den Trainingsdaten zahlreiche Beschreibungen beider Tiere verarbeitet hat.

Der erzeugte Text einer KI ist jedes Mal neu und kann variieren. Die Ergebnisse sind nicht deterministisch, was bedeutet, dass eine KI auf dieselbe Frage unterschiedliche Antworten geben kann – Im Gegensatz zu einem klassischen Computerprogramm, das mit festgelegten Anweisungen wie "if", "then" und "else" arbeitet.

Neue Angriffsmethoden bei Phishing und Vishing

Phishing ist eine beliebte Social Engineering Methode und kann über verschiedene Kanäle wie SMS, E-Mail und verschiedene Messenger ablaufen. Mit speziellen KIs können automatisiert personalisierte Phishing-Angriffe durchgeführt werden. Diese KIs scannen zum Beispiel Websites der anzugreifenden Firmen und erstellen mit den gesammelten Informationen automatisch Phishing-Nachrichten und versenden sie an selbst ausgewählte Empfänger.

Neben schriftlichen Phishing-Angriffen gibt es auch Angriffe per Telefon, sogenanntes Vishing. Angreifende geben sich zum Beispiel als Mitarbeitende eines großen Softwarekonzerns aus, um so an sensible Informationen ihrer Opfer zu gelangen. Traditionell erforderte diese Methode hohe Personalaufwendungen mit Callcenter-Charakter. Durch das Verbinden von textgenerativer und text-to-speech KI lassen sich mit minimalem Aufwand viele Opfer gleichzeitig erreichen.
Durch angepasstes Voice Cloning und gezieltes Vishing werden Methoden wie der altbekannte "Enkel-Trick" noch gefährlicher. Die Art der Angriffe ist nicht neu. Allerdings werden sie durch den Einsatz von Voice Cloning viel erfolgreicher.

KI-Technologie für Voice Cloning

Im Zusammenhang mit Voice Cloning kann ein Sprach-KI-Modell trainiert werden, um die Stimme einer bestimmten Person nachzuahmen, indem es Stimmproben verwendet und erlernt, wie sie sprechen. Es gibt bereits Open-Source-KIs mit benutzerfreundlichen Oberflächen, die von vielen Menschen ohne umfangreiche Vorkenntnisse verwendet werden können. Somit können sich Angriffe in diesem Bereich häufen.

Es gibt zwei Haupttypen von KI für Voice Cloning:

• Text-to-Speech (TTS)
  Bei dieser Methode wird der Text vorgegeben, den die geklonte Stimme vorlesen soll. Die TTS-Technologie liest einfach einen bestimmten Text laut vor und erzeugt so eine künstliche Sprachausgabe.
• Inference
  Bei dieser Methode liest das trainierte Modell keine Text-Datei vor, sondern manipuliert die Stimmmerkmale in einer bestehenden Audioaufnahme. Mit Echtzeit-Modellen können so Texte direkt beim Sprechen mit der geklonten Stimme ausgegeben werden.

So gelangen Angreifende an Stimmproben

Es gibt verschiedene Möglichkeiten, wie Angreifende an Stimmproben gelangen können. Die beiden wahrscheinlichsten Szenarien sind Social Engineering und öffentlich verfügbare Sprachaufzeichnungen:

• Social Engineering
  Angreifende können ihre Zielperson in ein Gespräch verwickeln und diese heimlich aufzeichnen. So erhalten sie Stimmproben, die sie später für das Klonen der Stimme verwenden können.
• Öffentlich verfügbare Sprachaufzeichnungen
  Öffentliche Aufzeichnungen von Reden oder Social-Media-Profilen mit Videoinhalten im Internet können als Quelle für Stimmproben dienen. Dies kann insbesondere für Personen riskant sein, die in der Öffentlichkeit stehen oder über soziale Medien aktiv sind.

Legitime Anwendungsfälle für Voice Cloning

Neben dem Missbrauch von Voice Cloning für kriminelle Zwecke gibt es auch einige Bereiche in denen es sinnvoll und legal eingesetzt werden kann. Zum Beispiel hier:

• Bildung und Lernen
  Durch das Klonen von Sprache können multilinguale Schulungsmaterialien einfacher erstellt werden. Dies könnte die Verfügbarkeit von Lehrmaterialien in verschiedenen Sprachen ermöglichen und Schüler mit unterschiedlichem Hintergrund besser auf das Lernen vorbereiten.
• Barrierefreiheit
  Voice Cloning kann Menschen helfen, die aufgrund körperlicher Einschränkungen oder Unfällen nicht mehr in der Lage sind, ihre Stimme zu verwenden. Mithilfe eines trainierten Text-to-Speech-Modells können sie weiterhin kommunizieren und mit ihrer eigenen Stimme sprechen.
• Entertainment
  Voice Cloning kann verwendet werden, um die Sprechrollen von Schauspielern in Filmen oder Videospielen nachzustellen.
• Geschichtspräsentation
  Voice Cloning kann historische Persönlichkeiten und Ereignisse zum Leben erwecken. Durch das Klonen bekannter Stimmen könnten Menschen diese Personen und ihre Lebensgeschichten besser verstehen, da die Präsentation authentischer wirkt.

Social Engineering – Motive und Techniken

Angreifende nutzen gezielt die psychologischen Schwächen der Menschen aus und verwenden dabei verschiedene Methoden, um ihre Ziele zu erreichen. Zu ihren Motiven zählen finanzielle Bereicherung durch Erpressung oder Betrug, politische und soziale Manipulation zur Generierung von Unruhen in der Bevölkerung, Identitäts- oder Datendiebstahl, Rufschädigung oder Desinformation.

Durch geschickt eingefädelte Tricks setzen Angreifende eine oder mehrere Taktiken ein. Oft basieren sie auf den Prinzipien der Überzeugungspsychologie, wie sie der bekannte US-amerikanische Psychologe Robert B. Cialdini in seinem Buch "Die Psychologie des Überzeugens" (1984) beschreibt:

• Zeitdruck
  
• Autorität
  
• Gegenseitigkeit
  
• Soziale Bewährtheit
  
• Verpflichtung und Konsistenz
  
• Sympathie
  

2016 ergänzte Cialdini die sechs Techniken um eine weitere: Das Prinzip der Einheit und gemeinsamen Identitäten.

Betrug funktionierte schon immer, indem die menschliche Psyche ausgenutzt wird. Im Laufe der Jahre haben sich jedoch die Anforderungen verändert. Angreifende passen ihre Methoden ständig an, um möglichst erfolgreich zu sein. Mit KIs haben sie einen praktischen Werkzeugkasten erhalten, der es ihnen noch einfacher macht, Angriffe durchzuführen.

Betrug erkennen und sich davor schützen

Um sich vor Betrugsversuchen zu schützen, ist es wichtig, wachsam und skeptisch gegenüber ungewöhnlichen Vorfällen zu sein. Wir haben Ihnen hier einige Strategien aufgelistet, wie Sie sich vor Social Engineering schützen können:

• Sicherstellen der Identität
  • Seien Sie skeptisch, wenn ungewöhnliche Kommunikationswege gewählt wurden.
  • Hinterfragen Sie ungewöhnliche Aufforderungen kritisch, selbst wenn sie von vermeintlich bekannten Personen stammen.
  • Im Zweifel wählen Sie einen bekannten und sicheren Kommunikationsweg zur Rückfrage oder Verifizierung.
• Geben Sie im Internet nur die nötigsten persönlichen Informationen preis.
  • Wenn möglich, achten Sie darauf, dass Ihre Stimme nicht frei im Internet verfügbar ist.
  • Vermeiden Sie die Weitergabe vertraulicher Informationen über unsichere Kanäle.
  • Definieren und verwenden Sie sichere Kommunikationswege, beispielsweise bei Bankgeschäften oder anderen sensiblen Angelegenheiten.
• Kritische Betrachtung von Medieninhalten
  • Vertrauen Sie nicht blind Bildern, Videos und Tonaufzeichnungen von ungeprüften Quellen. Insbesondere in sozialen Medien können Inhalte manipuliert oder gefälscht sein.
  • Überprüfen Sie die Quelle und suchen Sie nach weiteren Bestätigungen, wenn etwas verdächtig erscheint.
• Informieren Sie sich regelmäßig über neue Betrugsmaschen und -techniken.
  • Bleiben Sie wachsam und achten Sie auf Anzeichen von Phishing, Vishing oder Social-Engineering-Angriffen.

Die Zahl der Cyberangriffe hat in den letzten Jahren immer weiter zugenommen, nicht zuletzt durch die ständig wachsende Abhängigkeit von digitalen Systemen und globale Spannungen.

Auf diese Bedrohungslage hat die EU mit einer neuen Cybersicherheitsstrategie reagiert: Neben einer Stärkung der europäischen Zusammenarbeit und der Förderung von Fachkräften sollen auch gemeinsame Einrichtungen zur Cyberabwehr geschaffen werden. Die Ziele der Strategie werden zudem durch eine Reihe neuer EU-Richtlinien und -Verordnungen erreicht. Hierzu zählt die NIS-2-Richtlinie.

Die EU hat schon 2016 eine erste Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS) verabschiedet. Diese beschränkt sich in Deutschland auf etwa 2.000 Unternehmen aus fest definierten Branchen. Angriffe führen inzwischen auch in anderen Branchen zu erheblichen volkswirtschaftlichen Schäden. Daher hat die EU den Kreis der betroffenen Unternehmen für die zweite NIS-Richtlinie deutlich erweitert. Schätzungen gehen alleine in Deutschland von bis zu 30.000 Unternehmen aus, die von der NIS-2 betroffen sein werden.

Wie wird die NIS-2 in Deutschland umgesetzt?

Anders als beispielsweise die DSGVO ist die NIS-2 als EU-Richtlinie nicht unmittelbar bindend. Daher müssen die einzelnen EU-Mitgliedsstaaten nationale Gesetzte erlassen, um die Richtlinie zu implementieren.

In Deutschland gibt es dazu einen Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Der Entwurf wurde vom Kabinett beschlossen, muss aber im Bundestag noch verabschiedet werden. Von größeren Änderungen ist dabei aber nicht mehr auszugehen.

Zusätzlich hat sich die EU jedoch die Möglichkeit offen gehalten, Durchführungsverordnungen zu erlassen. Der Entwurf für eine erste Verordnung ist zurzeit in der Beratung. Diese gibt Vorgaben für die Bewertung von Sicherheitsvorfällen und Durchführung von Maßnahmen bei Unternehmen, die bestimmte IT-Dienste anbieten. Dazu gehören beispielsweise Anbieter sozialer Netzwerke oder Managed Service Provider.

Beide Dokumente sollen nach aktuellem Stand zum 17.10.2024 vollständig verabschiedet werden.

Wer ist von der NIS-2 betroffen?

Ob ein Unternehmen betroffen ist, hängt von einer Reihe von Kriterien ab. Dazu zählen unter anderem die Branche, die Größe und der Sitz des Unternehmens und ob Geschäfte in der EU abgeschlossen werden. Nähere Informationen wer von der NIS-2 betroffen ist finden Sie in unserem zweiten Teil der Artikelserie.

Was kommt auf betroffene Einrichtungen zu?

Die EU setzt auch bei der NIS-2 auf Technologieoffenheit. Die Richtlinie gibt vor, was umgesetzt werden muss, hat aber nur wenige Anforderungen, wie dies zu geschehen hat. Welche Maßnahmen konkret gefordert werden erfahren Sie im dritten Teil unserer Artikelserie.

Wann müssen betroffenen Einrichtungen aktiv werden?

Unmittelbar mit dem voraussichtlichen Inkrafttreten der NIS-2 Richtlinie zum 17.10.2024 müssen Einrichtungen die Anforderungen an Risikomanagementmaßnahmen und Meldepflichten erfüllen. Um die notwendigen Maßnahmen rechtzeitig auf den Weg zu bringen, ist es empfehlenswert, jetzt aktiv zu werden.

Alle Unternehmen, die zum Inkrafttreten betroffen sind, müssen sich beim BSI bis spätestens 17.01.2025 registrieren. Für Unternehmen, die erst später betroffen sind, beispielsweise weil erst dann die Mitarbeiterzahl überschritten wurde, gilt eine Frist von drei Monaten.

Wie geht es weiter?

Um das Ziel zu erreichen, das Niveau der Informationssicherheit in Unternehmen in der EU deutlich zu steigern, ist die EU auf die Mitarbeit ebendieser angewiesen. Um die Ziele zu erreichen, sieht die NIS-2 eine Reihe von Pflichten zu, deren Nicht-Einhaltung empfindlich bestraft werden kann.

Information für die Feststellung, ob ein Unternehmen betroffen ist und welche Maßnahmen ergriffen werden müssen, finden Sie in den nachfolgenden Blogbeiträgen. Auch stehen Ihnen die aramido Berater für Fragen gerne zur Verfügung.

Die Zahl betroffener Unternehmen nimmt mit der NIS-2 deutlich zu. Schätzungen gehen für Deutschland von 30.000 betroffenen Unternehmen aus (zum Vergleich: Die erste NIS-Richtlinie betraf circa 2.000 Unternehmen).

Eine Meldung, ob ein bestimmtes Unternehmen betroffen ist, gibt es von offizieller Stelle nicht. Die Betroffenheit festzustellen obliegt den Unternehmen daher selbst. Dafür sind eine Reihe von Kriterien relevant.

Wovon ist eine Betroffenheit abhängig?

Zunächst geht es um zwei Schwellenwerte:

• Klein- oder Kleinstunternehmen sind nur in Ausnahmefällen betroffen.
• Klein- oder Kleinstunternehmen haben weniger als 50 Mitarbeitende und einen Jahresumsatz oder eine Jahresbilanzsumme von weniger als 10 Millionen Euro.
• Für mittlere Unternehmen gelten in den meisten Fällen weniger strenge Anforderungen als für solche, die diese Werte überschreiten.
• Mittlere Unternehmen haben unter 250 Mitarbeiter.
• Der Gewinn beträgt weniger als 50 Millionen Euro oder die Bilanzsumme ist kleiner als 43 Millionen Euro.

Besonders wichtige Einrichtungen

Die EU-Verordnung spricht von wesentlichen Einrichtungen (essential entities), die deutsche Umsetzung dagegen von besonders wichtigen Einrichtungen – gemeint ist das Gleiche.

Als besonders wichtig gelten Einrichtungen, die die Schwellenwerte für mittlere Unternehmen überschreiten und zu einer Einrichtungsart aus Anlage 1 des NIS2UmsuCG zählen. Dazu gehören Einrichtungsarten aus den folgenden Branchen:

• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasser
• Digitale Infrastruktur
• Weltraum

Nicht alle Unternehmen, die in einer dieser Branchen tätig sind, sind auch betroffen; es kommt auf die genaue Definition der Einrichtungsart an.

Besonders wichtig sind ebenfalls die Betreiber kritischer Infrastrukturen (KRITIS), qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Namenregistrierungsstellen oder DNS-Diensteanbieter sowie mittlere Telekommunikationsanbieter.

Wichtige Einrichtungen

Wichtige Einrichtungen sind mittlere oder größere Unternehmen, die unter eine der Einrichtungsarten in Anhang I oder II des NIS2UmsuCG fallen. Damit kommen folgende Branchen zu den oben genannten dazu:

• Abfallbewirtschaftung
• Lebensmittel- und Chemiebranchen
• Hersteller von Medizinprodukten oder bestimmter elektrischer Ausrüstung
• Maschinenbauer und Fahrzeughersteller
• Anbieter digitaler Dienste
• Forschungseinrichtungen

Wie bei den besonders wichtigen Einrichtungen ist auch hier die genaue Definition der Einrichtungsarten entscheidend.

Zusätzlich gelten Vertrauensdiensteanbieter und alle Telekommunikationsanbieter, die nicht besonders wichtig sind, als wichtig.

Betroffene der Durchführungsverordnung

Mit der ersten Durchführungsverordnung zielt die EU auf eine unmittelbare Regulierung von Unternehmen ab, die inhärent grenzüberschreitende Dienste anbieten. Dazu zählen nach aktuellem Stand Anbieter folgender Dienste:

• DNS Dienstanbieter und TLD-Namenregistrierungsstellen
• Cloud-Computing, Rechenzentren und Content Delivery Netzwerke
• Managed (Security) Services
• Online-Marktplätze, Online-Suchmaschinen und sozialen Netzwerke

Wie findet man heraus, ob das eigene Unternehmen betroffen ist?

Einen ersten Anhaltspunkt gibt zum Beispiel die NIS-2-Betroffenheitsprüfung des BSI. Für eine genauere Prüfung stehen Ihnen die Berater der aramido GmbH gerne zur Verfügung. Auch eine abschließende juristische Prüfung kann hilfreich sein.

Mehr zum Thema NIS-2

Was kommt auf NIS-2 betroffene Unternehmen zu?

Was ist die NIS-2?

Um die Informationssicherheit in Einrichtungen voranzubringen, stellt die EU mit der NIS-2 Richtlinie eine ganze Reihe von Anforderungen. Als erste Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Die NIS-2 macht dabei klar, dass Informationssicherheit Chef-Sache ist und definiert explizite Anforderungen für die Geschäftsleitung von betroffenen Einrichtungen.

Pflichten der Geschäftsleitung

Die Geschäftsleitung muss bestimmte Risikomaßnahmen umsetzen und überwachen. Deshalb muss die Geschäftsleitung auch mindestens alle drei Jahre im Umgang mit Informationssicherheitsrisiken geschult werden. Im Rahmen der Schulung muss die Fähigkeit erlangt werden, Risiken und ihre Auswirkungen zu identifizieren, zu bewerten und angemessene Maßnahmen zu ergreifen.

Die Geschäftsleitung kann – wenn sie ihre Pflichten schuldhaft verletzt – für entstandene Schäden nun sogar persönlich haftbar gemacht werden.

Zum Teil können die Pflichten der Umsetzung delegiert werden. Die Pflicht zur Überwachung und die Schulung, um sinnvoll überwachen zu können, verbleiben jedoch immer bei der Geschäftsleitung.

Meldepflicht

Wenn erhebliche Sicherheitsvorfälle auftreten, müssen Unternehmen eine Reihe von Meldungen an das BSI machen. In bestimmten Fällen kann das BSI zudem anordnen, das Kunden oder die Öffentlichkeit über Vorfälle informiert werden müssen.

Wie genau eine Meldung ablaufen muss, wird vom BSI noch festgelegt. Eine Gestaltung ähnlich zur bestehenden Meldepflicht für Betreiber kritischer Anlagen ist jedoch wahrscheinlich.

Ein Sicherheitsvorfall gilt als erheblich, wenn er zu schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichen Schäden an Dritten führt oder führen kann. Wie diese Bewertung im Detail aussieht, müssen die meisten Einrichtungen selbst festlegen.

Für alle Einrichtungen, die unter die erste Durchführungsverordnung fallen, gibt es konkrete Vorgaben, wie erhebliche Sicherheitsvorfälle bewertet werden müssen.

Registrierung beim BSI

Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Dabei müssen neben allgemeinen Daten zum Unternehmen und Kontaktdaten auch Angaben zur Branche und den EU-Ländern, in denen das Unternehmen tätig ist, übermittelt werden. Änderungen dieser Informationen müssen sie dem BSI innerhalb von zwei Wochen mitteilen.

Risikomanagementmaßnahmen umsetzen

Einen zentralen Teil des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) bildet die Pflicht zu Risikomanagementmaßnahmen:

„[...] Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit [...] zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“

Die NIS-2 beschreibt danach eine Reihe von konkreten Maßnahmen:

• Grundlegende Risiko- und Informationssicherheitskonzepte
• Handhabung von Sicherheitsvorfällen
• Business Continuity Management (BCM)
• Sicherheit der Lieferkette und Systementwicklung
• Security-Awareness-Schulungen
• Kryptographie-Konzepte
• Personalsicherheit und physische Sicherheit
• Bewertung der Wirksamkeit des Risikomanagements

Hierbei handelt es sich jedoch lediglich um Mindestanforderungen – je nach Risikosituation des Unternehmens können auch weitere Maßnahmen notwendig sein, um die Anforderung zu erfüllen.

Wann müssen betroffenen Einrichtungen aktiv werden?

Unmittelbar mit dem voraussichtlichen Inkrafttreten der NIS-2 Richtlinie zum 17.10.2024 müssen Einrichtungen die Anforderungen an Risikomanagementmaßnahmen und Meldepflichten erfüllen. Um notwendige Maßnahmen rechtzeitig auf den Weg zu bringen, gilt es also, jetzt aktiv zu werden.

Für alle, die zum Inkrafttreten betroffen sind, muss die Registrierung der Organisation beim BSI bis spätestens 17.01.2025 erfolgt sein. Für Einrichtungen, die erst später betroffen sind, beispielsweise weil erst dann die Mitarbeiterzahl überschritten wurde, gilt eine Frist von drei Monaten.

Was sollten betroffene Einrichtungen jetzt tun?

Durch die wenig verbleibende Zeit, bis Maßnahmen umgesetzt sein müssen, sollten Betroffene zügig aktiv zu werden.

1. Betroffenheit feststellen

Wie die Betroffenheit festgestellt werden kann, lesen Sie im zweiten Teil der NIS-2-Artikelserie.

2. Gap-Analyse

Es muss festgestellt werden, in welchen Bereichen Lücken zur Erfüllung der NIS-2 Anforderungen bestehen.

3. Maßnahmen definieren

Für alle Lücken müssen passende Maßnahmen definiert werden.

4. Maßnahmen umsetzen

Die Registrierung muss vorbereitet, ein Meldeverfahren aufgesetzt und das Risikomanagement etabliert werden.

In allen Schritten können die aramido Berater Sie unterstützen.

Um das Unternehmen im Angesicht einer sich ständig ändernden Bedrohungslage auch nachhaltig zu schützen, muss Informationssicherheit als Prozess verstanden werden. Neue Risiken müssen immer wieder identifiziert und behandelt werden – nicht nur, um die gesetzlichen Anforderungen zu erfüllen, sondern vor allem, um das Unternehmen vor erheblichen Schäden zu bewahren.

Mehr zum Thema NIS-2

Was ist die NIS-2?

Wer ist von der NIS-2 betroffen?

Es gibt viele unterschiedliche Arten von Steganographie:

• Doppelte Böden in Paketen oder Briefumschlägen wurden als Geheimverstecke genutzt.
• Nachrichten wurden mit Zitronensaft in Geheimtinte verfasst.
• Durch Chiffrierungen wurden Informationen in einen Geheimtext umgewandelt.
• Versteckte Botschaften in Texten und Bildern wurden als Semagramme verschickt.

Der Steganographie sind Grenzen nur durch Kreativität gesetzt, um Informationen möglichst geschützt zu übermitteln. Je nach Einsatzzweck, Aufwand und Sicherheitsniveau können verschiedene Verfahren verwendet und sogar kombiniert werden.

Semagramm und Codierung

Ein bekanntes Beispiel für ein Semagramm ist das Bild des San Antonio Flusses aus dem Buch The Codebreakers – The Story of Secret Writing von David Kahn. Hierbei wurden geheime Nachrichten im Bild versteckt. Bei den unauffälligen Grashalmen am Ufer handelt es sich um Morsecode. Ein kurzer und ein langer Grashalm eines Grasbüschels repräsentieren in diesem Fall ein "A". Auf diese Weise konnten früher ganze Landkarten und weitere taktische Informationen übermittelt werden.

Das Morsealphabet

Tarnung und Verschlüsselung heute

Der Bedarf an sicherer Datenübermittlung besteht schon immer – sei es um taktische Entscheidungen zu übermitteln oder geheime Treffpunkte zu vereinbaren. Steganographie findet auch heute Anwendung, beispielsweise durch Kriminelle, die Schadsoftware in Bildern verstecken.

Wer jedoch vertrauliche Informationen übertragen möchte, greift heute besser auf anerkannte, sichere Verfahren zurück. Je nach Anwendungsfall kommen dabei symmetrische oder asymmetrische Verschlüsselungsverfahren zum Einsatz, beispielsweise AES, RSA oder ECC. Diese Verfahren sichern die Internetkommunikation, den verschlüsselten E-Mail-Verkehr und auch SIP-Telefonverbindungen.

Programmüberblick

Es wird ein buntes Programm geboten: Von spannenden Live-Hacking-Vorträgen über einen Capture the Flag-Wettbewerb bis hin zur Ausstellung von Hacking-Werkzeugen zeigt das aramido-Team eine breite Palette an wissenswerten Inhalten.

Verschiedene interaktive Stationen laden zum Mitmachen und gemeinsamen Tüfteln ein. Zum ersten Mal wird es möglich sein bei der Voice Cloning Station seine eigene Stimme selbst zu klonen.

Bei gutem Wetter bietet sich auf unserer Dachterrasse auch dieses Jahr wieder die Gelegenheit, den erlebnisreichen Tag ausklingen zu lassen – mit einem kühlen Getränk in der Hand und dem Blick auf den Sonnenuntergang über den Dächern von Karlsruhe.

Vorträge

Wer sich effektiv schützen will, muss wissen wie angegriffen wird. Das Team von aramido zeigt in den Vorträgen mit einigen Live-Hacks, dass auch Hacking zu den Aufgaben eines Informations­sicherheits­beratenden gehört.

Aktionsstationen

Neben den Vorträgen laden unterschiedlichste Stationen zum Informieren und Mitmachen ein:

• Capture the Flag-Wettbewerb (CTF)
• Voice Cloning – Klone die eigene Stimme
• USB-Kondom-Lötstation
• Hacking-Gadget-Ausstellung
• Fingerabdruck-Attrappe
• Krypto-Box
• Tschunk-Bar

Änderungen vorbehalten.

Vortrags-Details

Smartphone Hacking – Eine kurze Geschichte der verwundbaren Cyborgs

Die Geschichte der Smartphones ist kurz. Erst im Jahr 2007 stellte Apple das erste iPhone mit dem eigenen Betriebssystem iOS vor, ein Jahr später kam mit Android, das heute dominierende Smartphone-Betriebssystem auf den Markt. Und genauso alt wie das Smartphone selbst ist die Geschichte der ersten Smartphone-Hacks: Von den ersten Jailbreaks über die Celebrity Nudes bis hin zu kommerzieller und staatlicher Spyware.

Anhand von Attack Trees und Live-Hacking-Demonstrationen zeigen die Referenten, wie Smartphones angegriffen werden. Das Verständnis darüber ist die Grundlage für effektive Schutzmaßnahmen.

» Zurück zur Programmübersicht

Capture the Flag (CTF) – Was es mit dem CTF-Wettbewerb auf sich hat

Capture the Flag (CTF) ist ein beliebter Wettbewerb im Bereich der IT-Sicherheit, bei dem Teilnehmer ihre Fähigkeiten im Umgang mit Schwachstellen und anderen Rätseln unter Beweis stellen. Diese Wettbewerbe sind eine Art Spiel, bei dem Teams oder Einzelpersonen verschiedene Sicherheitsaufgaben lösen müssen, um sogenannte Flags zu finden.

Im Vortrag erklären die Referenten was ein CTF ist, welche Arten von Aufgaben es gibt, wie man mit CTF-Spielen anfängt und welche Fähigkeiten beziehungsweise Kenntnisse gefordert werden.

» Zurück zur Programmübersicht

Voice Cloning – Die Kunst der digitalen Stimmenkopie

Voice Cloning ist eine faszinierende Technologie, die es ermöglicht menschliche Stimmen mithilfe von künstlicher Intelligenz (KI) zu klonen. Dabei werden charakteristische Merkmale einer Stimme wie Tonfall, Pausen und Akzente durch maschinelles Lernen trainiert und in einem Modell gespeichert. Anschließend kann die KI mit der geklonten Stimme Texte vorlesen oder gesprochene Aufnahmen verändern.

Die Referenten zeigen im Vortrag live, wie einfach und schnell man eine Stimme klonen kann, wo aktuell noch Grenzen liegen und wie man sich am besten vor den Gefahren durch “Deep Fakes” schützt.

» Zurück zur Programmübersicht

Hacking on Ice – Wann Sie Ihren PC besser ausschalten sollten (Live Hack)

Zum Schutz von Daten vor unberechtigtem Zugriff werden diese mit Tools wie Microsofts BitLocker und Apples FileVault verschlüsselt. Für mobile Geräte im geschäft­lichen Umfeld ist das oft eine Compliance-Anforderung. Nur wer das Pass­wort kennt, kommt an die Daten heran. Dass dies ein Irr­glaube ist, haben Sicherheits­forscher bereits 2008 gezeigt: Hatten sie phy­sischen Zug­riff auf einen an­ge­schal­teten oder „schlafenden“ (Bereit­schafts­modus) Com­puter, konnten sie das Pass­wort aus dem Ar­beits­speicher aus­lesen. Auch heute sind die so­genann­ten Cold-Boot-Angriffe noch immer mög­lich.

Im Vortrag wird live ein solcher An­griff auf einen Com­puter mit Festplatten­ver­schlüs­se­lung durchgeführt und es werden Gegenmaßnahmen vorgestellt, um nicht selbst Opfer eines Cold-Boot-Angriffs zu werden. Denn ob Windows, macOS oder Linux: Alle, die sich auf eine Festplattenverschlüs­se­lung ver­lassen, sind be­troffen.

» Zurück zur Programmübersicht

Details zu den Aktionsstationen

CTF – Capture the Flag Wettbewerb

Verschiedene Hochschul-Teams treten in einem Capture the Flag (CTF)-Wettbewerb gegeneinander an und stellen dabei ihre Fähigkeiten im Umgang mit sicherheitsrelevanten Schwachstellen unter Beweis. Sie müssen dabei verschiedene Aufgaben lösen, um sogenannte “Flags” zu finden. Diese Flags sind versteckte Zeichenketten, die als Beweis für die erfolgreiche Ausnutzung einer Schwachstelle oder das Lösen einer Aufgabe dienen.
Die Siegerehrung findet im CTF-Vortrag (17:15 – 17:45 Uhr) statt.

Voice Cloning – Klone die eigene Stimme

Voice Cloning selbst ausprobieren! Es muss lediglich ein kurzer Text eingesprochen werden. Dabei werden charakteristische Merkmale der Stimme durch maschinelles Lernen trainiert und in einem Modell gespeichert. Anschließend kann die KI mit der geklonten Stimme Texte vorlesen.

USB-Kondom-Lötstation

Wer selbst aktiv werden will, hat beim Löt-Workshop die perfekte Chance ein eigenes kleines Gadget anzufertigen. Mit Lötkolben und Gehäuse aus dem 3D-Drucker erstellen sich die Besucher ihr eigenes USB-Kondom. Mit diesem nützlichen Tool kann man Geräte guten Gewissens an fremden USB-Ports laden.

Vorstellung der Hacking-Gadgets

Einen Überblick über das Handwerks­zeug der Penetrations­tester bekommt man bei der Ausstellung von aramidos Hacker-Werkzeugen. Vom WLAN-Pineapple über Rubber Ducky bis zum Flipper Zero lässt sich erfahren, wie mit unscheinbaren Tools großer Schaden angerichtet werden kann.

Fingerabdruck-Attrappe

Passend zum Smartphone Hacking-Vortrag können Besucher mit kinderleichten Tricks und alltäglichen Materialien ihren eigenen Fingerabdruck klonen. Es ist erstaunlich, wie positiv entsprechende Sensoren darauf reagieren!

Kryptografie ganz easy

Kryptografie ist häufig die Grundlage für Sicherheit in Informations­systemen. Ohne die Möglichkeit Daten zu verschlüsseln und somit effektiv vor einem Zugriff zu schützen, wären die meisten Sicherheits­ziele schlicht nicht erfüllbar. Doch auch die heute komplexe Kryptografie hat einmal klein begonnen. Anhand der KryptoBox der Pädagogischen Hochschule Karlsruhe, die speziell für Schüler von der 1. bis zur 10. Klasse entwickelt wurde, erlangt Groß und Klein einen leichten und spielerischen Zugang zu diesem spannenden Themenfeld.

Tschunk-Bar

Natürlich ist auch für ausreichend “Tschunk” an der Tschunk-Bar gesorgt. Es ist das Supplement der Wahl, wenn man beim Hacken Hunger nach Fantasie und Verlangen nach Flüssigkeit hat: Club Mate + Limetten + Rohrzucker + Eis + Rum = mehr Flags.

Achtung: Wer anfängt die Welt in Binär wahrzunehmen, sollte den Tschunk-Konsum zur Sicherheit einstellen.

Bei gutem Wetter mit einem kühlen Getränk über den Dächern von Karlsruhe die Woche ausklingen lassen und mit anderen ins Gespräch kommen – dafür ist die aramido-Dachterrasse der perfekte Ort!
Tipp: Gegen Abend hat man eine wunderschöne Aussicht auf den Sonnenuntergang.

» Zurück zur Programmübersicht

Hackathon bei aramido: StudentHACK2024

Mit solchen Fragen zur KI beschäftigt sich aramido bereits länger. Deshalb ist dieses Thema auch Anlass für den StudentHACK 2024 mit studentec e. V., einer Hochschulgruppe des Karlsruher Institut für Technologie (KIT). Gemeinsam wurde ein zweitägiger interdisziplinärer Hackathon organisiert, der Studierende zusammenbringt, um innovative Lösungen für komplexe Probleme zu entwickeln.

Die Auswirkungen von KI auf Social Engineering

Der Erfolg von Social Engineering hängt letztlich von der Fähigkeit ab, Menschen zu überzeugen. Viele Taktiken tragen dazu bei, die Chancen zu erhöhen, Menschen auszutricksen, wie zum Beispiel das Erzeugen von Dringlichkeit oder das Ausnutzen kognitiver Verzerrungen. Eine der wirksamsten Überzeugungsmethoden besteht zum Beispiel darin, den Tonfall und Gesprächsstil zu übernehmen, den der Empfänger vom Absender gewohnt ist.

Dank der beeindruckenden Fortschritte bei der Verarbeitung natürlicher Sprache können KI-Systeme heute sehr große Datenmengen analysieren, um persönliche Vorlieben, Verhaltensmuster, Tonfall, Umgangssprache und demografische Daten zu verstehen. Mithilfe der KI können Angreifer personalisierte und äußerst glaubwürdige Botschaften verfassen, welche die Erfolgschancen von Social Engineering Angriffen erhöhen können. Die Weiterentwicklung von KI-Technologien führt dazu, dass diese auch immer besser Inhalte erstellen, die Abwehrmaßnahmen wie Spamfilter umgehen können. Die bei weitem auffälligste Verbesserung der KI in letzter Zeit sind generative Algorithmen. Diese Algorithmen sind in der Lage, menschenähnliche Texte zu erzeugen, die oft kaum von echten menschlichen Texten zu unterscheiden sind. Durch die Nachahmung menschlicher Schreibmuster kann die KI Nachrichten erstellen, die mit größerer Wahrscheinlichkeit den beabsichtigten Empfänger erreichen und häufiger als unverdächtig eingestuft werden.

Die Herausforderung für die Abwehr

Glücklicherweise gibt es jedoch auch eine Kehrseite: Die gleichen Entwicklungen in der KI können ebenfalls die Fähigkeit zur Erkennung von Social Engineering verbessern. Maschinelle Lernalgorithmen können durch die Analyse großer Textmengen Merkmale extrahieren, die für einen Social Engineering Angriff typisch sind. Unternehmen und Organisationen investieren daher in KI-gestützte Lösungen, die sowohl Angriffe erkennen als auch vorbeugende Maßnahmen ergreifen können.

In der Zukunft wird aramido sich auch weiterhin mit dieser gefährlichen Allianz aus KI und Social Engineering auseinandersetzen und die innovativen Ideen und Ergebnisse des Hackathons miteinbeziehen. Die Sensibilisierung für die Risiken und die Investition in fortschrittliche Technologien sind zur Gewährleistung der digitalen Sicherheit entscheidend.

Alle Studierenden erwartet eine intensive Zusammenarbeit in den Teams, um bahnbrechende Lösungen zu entwickeln, und die Möglichkeit zum Networking mit talentierten Studierenden und Branchenexperten. Für eine hervorragende Verpflegung mit Mate, Snacks und vollwertigen Mahlzeiten, ganz im aramido Style, wird gesorgt sein.

Hackern über die Schulter schauen

Hacker haben es deshalb oft auf das Microsoft AD abgesehen. Um ein Active Directory anzugreifen, werden mehrere Schwächen in der IT-Infrastruktur ausgenutzt. Wie solch ein Angriff aussehen kann, zeigt aramido in einer Sondersendung über Hacker-Angriffe. Schauen Sie Hackern über die Schulter, wie sie die vollständige Kontrolle einer Windows-Domäne übernehmen können.

In der Sondersendung über Hacker-Angriffe wird gezeigt, wie ein Mitarbeiter eines Unternehmens gephisht wird. Hackern gelingt der Zugriff auf das Unternehmensnetzwerk, wo sie durch einen Wörterbuchangriff einen Server übernehmen können. Sie lauschen im Netzwerk mit und können durch LLMNR-Poisoning das Konto eines lokalen Administrators übernehmen. Durch den falschen Einsatz eines Domänenadministrator-Benutzers kann dessen Passwort erspäht werden. Unzureichende Netzwerksegmentierung kann die vollständige Übernahme des Active Directories nicht mehr verhindern. Es stellt sich heraus, dass die Sondersendung über Hacker-Angriffe eine Demonstration eines Red Teaming Assessments ist, das von aramido im Auftrag eines Unternehmens als Sicherheitsprüfung durchgeführt wurde.

10-Punkte-Plan zur Absicherung von Windows-Domänen

Damit wichtige Systeme einer IT-Infrastruktur vor Hackern sicher bleiben, braucht es ein gutes Sicherheitskonzept, fähige Sicherheitsexperten und regelmäßige Sicherheitsüberprüfungen. Neben individuellen Maßnahmen, die den Anforderungen eines Unternehmens gerecht werden, empfehlen wir zur Absicherung eines Active Directories (AD) folgenden 10-Punkte-Plan:

1. Starke Authentifizierung implementieren
   • Verwenden Sie Multi-Faktor-Authentifizierung (MFA) mindestens für alle Domänenbenutzer und -administratoren.
   • Verwenden Sie Smartcards, Hardware-Tokens oder biometrische Authentifizierungsmethoden.
2. Sicherheitseinstellungen härten
   • Konfigurieren Sie Gruppenrichtlinien-Objekte (GPOs), um Sicherheitsrichtlinien durchzusetzen.
   • Aktivieren Sie die selektive Authentifizierung für bestimmte Benutzer und Gruppen.
   • Implementieren Sie Network Access Control (NAC)-Lösungen, um den Gerätezugriff zu kontrollieren.
3. Passwörter schützen
   • Verwenden Sie einen Passwort-Manager, um komplexe Passwörter zu erstellen und zu speichern.
   • Implementieren Sie Passwortrichtlinien, die eine Mindestlänge, Einzigartigkeit und hohe Komplexität vorschreiben.
4. Benutzerzugriffe kontrollieren
   • Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC), um die Berechtigungen der Benutzer auf der Grundlage ihrer Rollen einzuschränken.
   • Verwenden Sie Gruppenrichtlinien, um Benutzerberechtigungen und Zugriffsrechte zu kontrollieren.
5. Netzwerkverkehr überwachen
   • Verwenden Sie Network Security Monitoring (NSM)-Tools, um verdächtige Aktivitäten zu erkennen.
   • Überwachen Sie auf unbefugten Zugriff, Datenverletzungen und bösartige Software.
6. Ereignisse auditieren
   • Aktivieren Sie die Überwachung von wichtigen Ereignissen wie Anmeldeversuche, Änderungen an Benutzerkonten und Verstöße gegen Sicherheitsrichtlinien.
   • Überprüfen Sie Audit-Protokolle regelmäßig, um verdächtige Aktivitäten zu identifizieren.
7. Updates einspielen
   • Halten Sie Betriebssysteme, Anwendungen und Treiber mit Sicherheits-Patches auf dem neuesten Stand.
   • Implementieren Sie ein Patch-Management-Verfahren, um eine rechtzeitige Installation zu gewährleisten.
8. Anti-Malware-Programme einsetzen
   • Installieren und warten Sie Antiviren- und Anti-Malware-Software auf allen Geräten, die mit der Domäne verbunden sind.
   • Scannen Sie regelmäßig nach Malware und Viren.
9. Benutzer schulen
   • Informieren Sie die Benutzer über Sicherheitsrisiken und bewährte Praktiken, wie zum Beispiel die Verwendung sicherer Passwörter und die Vermeidung von Phishing-Betrug.
   • Führen Sie regelmäßig Schulungen zum Sicherheitsbewusstsein durch.
10. Sicherheitsprüfungen durchführen
    • Führen Sie regelmäßige Sicherheitsprüfungen beispielsweise durch Red Teaming Assessments oder Penetrationstests durch, um Schwachstellen und Schwachpunkte zu ermitteln.
    • Setzen Sie Pläne zur Behebung von Sicherheitsproblemen um, damit diese so schnell wie möglich beseitigt werden.

Welche Informationen kann ein Angreifer durch Open Source Intelligence über Ihr Unternehmen sammeln und für eine Attacke nutzen? Sind Ihre Mitarbeitenden ausreichend geschult, um eine gut gemachte Phishing-E-Mail als bösartig zu erkennen? Wie kann man ein Wörterbuch für einen Hackerangriff nutzen? Im Rahmen des Vortrags schrecken wir selbst vor dem Einsatz von “Bluthunden” und der “Vergiftung des Netzwerkverkehrs” nicht zurück.

Erfahren Sie hautnah, wie wichtig zum Beispiel die korrekte Konfiguration von Servern, die Verwendung sicherer Passwörter oder das Prinzip der geringsten Privilegien ist. In machen Fällen kann selbst Multifaktorauthentifikation nicht vor der feindlichen Übernahme schützen!

Die Vorführung endet mit dem Erfolg der Hacker, die die Infrastruktur vollständig übernehmen können. Während echte Angreifer beispielsweise mit der Verschlüsselung der Systeme fortfahren würden, um anschließend ein Lösegeld fordern zu können, stehen die vortragenden Hacker nach getaner Arbeit für Fragen und Diskussion zur Verfügung.

Seinen Ausklang findet der Abend bei Schnittchen und Getränken.

Das Setting

Stellen Sie sich folgendes vor: Sie sind Teil eines IT-Krisenstabs und ein kritischer Vorfall ereignet sich. Daten werden gestohlen, Systeme werden verschlüsselt und die Konsequenzen für das Unternehmen können verheerend sein. Wie reagieren Sie?

In der Incident-Response-Übung von aramido werden Sie in eine solche Situation versetzt und müssen schnelle Entscheidungen treffen, um den Vorfall zu bewältigen. Jeder Schritt, den Sie unternehmen, kann die Situation beeinflussen und es liegt an Ihnen, das richtige Maß an Risikobereitschaft zu finden, um Ihrem Unternehmen aus der Patsche zu helfen.

Die Story

Während der Übung werden Sie ein tieferes Verständnis für die komplexen Herausforderungen der Informationssicherheit erlangen und lernen, wie Sie im Ernstfall reagieren sollten. Sie werden die Bedeutung von Vorsichtsmaßnahmen wie regelmäßigen Backups und Zugangskontrollen in einem realistischen Szenario kennen lernen. Gleichzeitig ist Ihr Durchsetzungsvermögen gefragt - unterschiedliche Rollen vertreten unterschiedliche Interessen.

Das Ziel

Die Übung ist nicht nur lehrreich, sondern auch unterhaltsam und spannend. Sie wird Sie herausfordern, Ihre analytischen Fähigkeiten, kommunikativen Kompetenzen und Ihr Urteilsvermögen testen, während Sie gegen die Uhr arbeiten, um den Vorfall zu bewältigen.

Die Rollen

Geschäftsleitung

Die Geschäftsleitung ist für das Gesamtbild des Unternehmens verantwortlich. Im Spiel wird sie entscheidende Fragen beantworten müssen, wie beispielsweise, wie viel Geld für die Behebung des Vorfalls ausgegeben werden kann, wie die Kundenkommunikation gestaltet werden soll oder wie die Auswirkungen auf die Geschäftsprozesse minimiert werden können.

SOC-Analyst

Der SOC-Analyst (Security Operations Center Analyst) überwacht die IT-Infrastruktur des Unternehmens auf mögliche Sicherheitsvorfälle. Im Spiel wird er eine Schlüsselrolle spielen, da er als erster den Vorfall bemerkt und den Incident Response-Prozess einleiten wird.

Datenschutzbeauftragter

Der Datenschutzbeauftragte ist für die Einhaltung der Datenschutzrichtlinien und -gesetze im Unternehmen verantwortlich. Im Spiel wird er darauf achten müssen, ob personenbezogene Daten betroffen sind und dass der Vorfall ordnungsgemäß gemeldet wird.

HR Leitung

Die HR Human Resources (HR) Leitung ist für die Mitarbeiter des Unternehmens verantwortlich. Im Spiel wird sie sich um die interne Kommunikation und Schulungen der Mitarbeiter kümmern müssen, um sicherzustellen, dass alle Beteiligten über den Vorfall informiert sind und wissen, wie sie sich verhalten sollen.

Informations­sicherheits­beauftragter

Der Informations­sicherheits­beauftragte ist für die Sicherheit der IT-Systeme im Unternehmen verantwortlich. Im Spiel wird er den Incident-Response-Prozess leiten und dafür sorgen, dass alle Maßnahmen zur Behebung des Vorfalls ergriffen werden.

Infrastrukturadmin

Der Infrastrukturadmin (Infrastructure Administrator) ist für die Verwaltung der IT-Infrastruktur des Unternehmens verantwortlich. Im Spiel wird er eng mit dem SOC-Analysten und dem Informations­sicherheits­beauftragter zusammenarbeiten, um den Vorfall schnellstmöglich zu beheben.

Cloud-Admin

Der Cloud-Admin ist für die Verwaltung der Cloud-Infrastruktur des Unternehmens verantwortlich. Im Spiel wird er darauf achten müssen, dass keine Daten verloren gehen und dass alle Maßnahmen zur Behebung des Vorfalls auch die Cloud-Systeme berücksichtigen.

Programmüberblick

Beim Threat Modeling werden Bedrohungen ausfindig gemacht und eine Risikobewertung dieser vorgenommen, um priorisierte Gegenmaßnahmen mit möglichst großem Wirkungsgrad entwickeln zu können. Dabei kann die Methodik je nach Anwendungsfall ganz verschiedene Formen annehmen: So können zum Beispiel die Gefahren für ein ganzes Unternehmen oder auch kleinere Bausteine wie beispielsweise ein einzelnes Modul einer Webanwendung betrachtet werden. Im Folgenden soll es exemplarisch um das Threat Modeling einer Webanwendung gehen. Aufgrund einiger Sicherheitslücken bei Anwendungen für Corona-Testzentren, die in den Zeiten der Pandemie die Gesundheitsdaten vieler Menschen bedroht hatten, soll genau eine solche Anwendung mit besserem Sicherheitsstand entwickelt werden.

Obwohl es praktisch unmöglich ist, alle potentiellen Schwachstellen einer Anwendung ausfindig zu machen, wurden in der Vergangenheit Frameworks entwickelt, welche sicherstellen sollen, dass zumindest die wichtigsten Schwachstellen beim Threat Modeling bedacht werden. Eines dieser Frameworks ist die von Microsoft entwickelte STRIDE-Mnemonik. Dabei ist STRIDE ein Akronym für die Kategorien von verschiedenen Angriffstechniken auf Anwendungen und Systeme und steht für:

• Spoofing (Fälschung von Identitäten)
• Tampering with Data (Manipulation von Daten)
• Repudiation (Verhinderung der Nachweisbarkeit)
• Information Disclosure (Offenlegung von Informationen)
• Denial of Service (Einschränkung der Verfügbarkeit)
• Elevation of Privilege (Umgehung von Zugriffskontrollen)

Diese Mnemonik soll die Teams beim Threat Modeling unterstützen und insbesondere sicherstellen, das keine Kategorie von Angriffstechniken übersehen wird. Das Framework selbst erhebt dabei aber nicht den Anspruch auf Vollständigkeit. Trotz der Standardisierung der Methodik muss immer individuell auf die Gegebenheiten geachtet werden und jedes Framework kann begründet abgewandelt werden. Hinzu kommt, dass sich auch Angriffstechniken immer weiterentwickeln und sich somit auch die Frameworks weiterentwickeln. Neben STRIDE gibt es eine Reihe von weiteren Modellen und Frameworks für das Threat Modeling wie beispielsweise Kill Chains, Attack Trees, PASTA, et cetera.

Gamification

Um den Threat-Modeling-Prozess nicht nur als „notwendiges Übel“ für die Erfüllung von Compliance-Checklisten umzusetzen und ihn gleichzeitig effektiver zu gestalten gibt es schon seit längerer Zeit den Ansatz der Gamification. Durch das Einsetzen spielerischer Elemente kann die Motivation der Beteiligten steigen und ein nachhaltigeres Ergebnis erzielt werden. Hierzu wurden in der Vergangenheit bereits mehrere Kartenspiele entwickelt, die auf unterschiedliche Bereiche abzielen. Beispiele hierfür sind Elevation of Privilege von Microsoft und Cornucopia von OWASP. Weitere Security-relevante Spiele findet man hier.

Um die Anforderungen an die Threat-Modeling-Projekte von aramido mit Fokus auf Webanwendungen ideal abdecken zu können, wurde ein eigenes Kartenspiel hierzu entwickelt.

Das Kartenspiel

Das Kartenspiel besteht aus 39 Spielkarten, die jede einen bestimmten Angriff darstellen. Die Karten haben folgenden Aufbau:

• STRIDE-Kategorie: Die STRIDE-Kategorie, die der Angriff zuzuordnen ist. Durch diese Kategorie werden die Karten gruppiert.
• Angriffstitel: Der Titel des konkreten Angriffs.
• Angriffsbeschreibung: Eine kurze Beschreibung des Angriffs.
• CVSSv3-Score: Der CVSSv3-Score der Karte schätzt die Gefährlichkeit eines Angriffs. Dieser Score wird auch bei der Einordnung von Schwachstellen verwendet, hierzu weiter unten mehr. Im Kartenspiel dient diese Zahl vor allem dazu die Karten einer Kategorie in eine Reihenfolge zu bringen.
• Kartennummer: Eine eindeutige Nummer für jede Karte, die für den Spielverlauf nicht relevant ist.

Der Joker hat als einzige Karte mit der Bedrohung des unbekannten Zero-Day-Exploits den CVSS-Score 10 und sticht somit jede der übrigen Karten.

Spielablauf

1. Das Kartenspiel wurde dazu konzipiert, um das Threat Modeling für eine reale Applikation spielerisch zu gestalten. Deshalb sollte zu Beginn die Architektur der Anwendung graphisch zum Beispiel durch ein Diagramm dargestellt werden. Dies erleichtert im Folgenden die Diskussion und die Nachvollziehbarkeit für alle Beteiligten.
2. Die Karten werden gemischt und an die Spieler ausgeteilt. Alle Spielende erhalten möglichst die gleiche Anzahl Karten. Da Threat Modeling praktisch beliebig ausgedehnt werden kann, ist es wichtig eine maximale Spielzeit zu bestimmen.
3. Im Uhrzeigersinn wird nacheinander eine Karte ausgespielt und dann laut vorgelesen.
4. Gemeinsam wird überlegt, ob die bereits geplanten oder implementierten Schutzmaßnahmen den Angriff ausreichend abwehren. Dabei soll die Karte möglichst auf die Anwendung und Organisation angepasst werden, ohne das Wesen der Bedrohung zu verändern. In dieser Diskussion können und sollen Hypothesen und Abwägungen getroffen werden, um einen möglichst kreativen Angriff zu entwickeln.
5. Kann der Angriff nicht sicher abgewehrt werden, verbleibt die Karte offen auf dem Tisch. Ist der Angriff unmöglich, wird die Karte umgedreht und auf einen Stapel gelegt.
6. Die offen liegende Karte kann nun reihum von allen Spielenden übertrumpft werden, indem man eine Karte der gleichen Kategorie mit gleichem oder höherem CVSS-Score spielt. Ist der Angriff nicht möglich wird die Karte umgedreht und die Trumpf-Runde fährt mit der nächsten Person fort. Sofern der Angriff nicht abgewehrt werden kann, darf die Karte offen auf die bereits liegende gelegt werden. Es besteht keine Pflicht, eine Karte zu legen, Karten dürfen strategisch behalten werden. Die Trumpf-Runde ist beendet wenn niemand die zuoberst liegende Karte mehr übertrumpfen kann oder will. Die Person, die die oberste Karte mit dem höchsten CVSS-Score gelegt hatte, darf den gesamten offenen Stapel an sich nehmen und ihren Punkten zuschreiben.
7. Nach dem Ende der Trumpf-Runde fährt das Spiel in der ursprünglichen Reihenfolge, also als hätte es keine Trumpf-Runde gegeben, fort. Es darf nun eine Karte beliebiger Kategorie gespielt werden.
8. Der Joker kann unabhängig von der aktuellen Kategorie gespielt werden und übertrumpft alle anderen Spielkarten.
9. Das Spiel ist beendet, wenn alle Karten gespielt wurden oder wenn die Spielzeit abgelaufen ist.
10. Gewonnen hat, wer die meisten Punkte sammeln konnte.

Der Fokus dabei sollte klar auf der Diskussion der Machbarkeit der unterschiedlichen Angriffe, Gegenmaßnahmen und dem Austausch unter einander liegen.

Hintergrundwissen: CVSSv3-Score

Der CVSS-Score ist eine Kennzahl, um die Schwere von Schwachstellen zu klassifizieren. Dabei fließen im Wesentlichen zwei Komponenten in dessen Berechnung ein: die Auswirkung und die Ausnutzbarkeit. Zum einen werden die Auswirkungen einer Schwachstelle bewertet, also der Schaden, der bei einer erfolgreichen Ausnutzung eintreten kann. Zum Beispiel sind die Auswirkungen deutlich größer, wenn durch die Schwachstelle beliebiger Programmcode auf dem System ausgeführt werden kann (Remote Code Execution), als wenn die Angreifer nur in der Lage wären, einzelne Benutzernamen aus der Datenbank auszulesen. Die zweite Komponente ist die Ausnutzbarkeit, wie einfach es also ist, die Schwachstelle einzusetzen. Eine Schwachstelle, die aus dem öffentlichen Internet heraus ausgenutzt werden kann, hat eine höhere Ausnutzbarkeit als eine, die nur mit physischem Zugriff auf den Server vor Ort möglich ist.

Aus diesen zwei Komponenten errechnet sich ein Wert zwischen null und zehn. Je höher der Score ist, desto höher ist das Risiko der Schwachstelle und desto wichtiger ist es, Gegenmaßnahmen dagegen zu finden.

Let's Play

Um das Spiel einmal exemplarisch durchzuspielen soll das Szenario vom Beginn noch einmal aufgegriffen werden. Alice, Bob und John sind Webentwickler bei der Musterfirma GmbH. Sie sind gerade dabei, eine Webanwendung für ein Corona-Testzentrum zu entwickeln. Da sie die Anwendung sicher betreiben möchten, führen sie ein Threat Modeling durch und beschließen, hierzu das Kartenspiel zu verwenden, um den Prozess spielerisch zu gestalten.

Die Anwendung

Bei der Anwendung handelt es sich um eine gewöhnliche, vielen schon bekannte Applikation, um Termine für Corona-Tests zu vereinbaren und die Ergebnisse abzurufen. Dabei hat die Anwendung folgende Eigenschaften:

• Admin (legt Testzentren an)
• Testpersonal (trägt Stammdaten und Testergebnisse ein)
• Patienten (buchen Termine, rufen Ergebnisse ab)

• Terminplanung und -buchung
• Bereitstellen der Testergebnisse per E-Mail
• Meldung an Gesundheitsamt per E-Mail

Alice, Bob und John haben bereits die wichtigsten Schutzziele identifiziert und eine Priorisierung vorgenommen. Dies soll dabei helfen die Kritikalität von möglichen Schwachstellen im Zusammenhang mit ihrer Applikation besser beurteilen zu können.

Um die Diskussion zu vereinfachen haben die Entwickler die Infrastruktur-Architektur mit einem Diagramm visualisiert:

Die Anwendung wird in einer modernen Cloud-Umgebung mit folgenden Eigenschaften gehostet:

• Datenbank für Texte und nicht-binäre Inhalte (User, Passwörter, Stammdaten zu Testzentren, ...)
• Blob Storage für Dateien (Testergebnisse als PDF)
• E-Mail-Versand-Service
• Anwendung:
• Webserver (nginx)
• Webanwendung: React im Frontend, Java Backend
• Externe User:
• Testzentren (shared account für jedes Testzentrum, PW klebt unter der Tastatur)
• Patienten (keine richtigen Accounts, Authentifizierung nur für Testergebnis: PDF ist mit Geburtsdatum verschlüsselt)
• Interne User:
• Admins, die neue Teststationen anlegen

Das Spiel

Alice, Bob und John setzen sich im Besprechungsraum gemeinsam an einen Tisch und projizieren das Diagramm der Anwendung auf den großen Bildschirm. Anschließend werden die Karten von Bob gemischt und möglichst gleichmäßig auf alle drei Mitspieler verteilt. Für den Anfang einigen sich die Spieler die Spielzeit zunächst auf eine Stunde zu begrenzen und stellen hierzu einen Timer. Nach Absprache mit den anderen beginnt Alice, legt die erste Karte und liest diese laut vor:

Gemeinsam diskutieren die Spieler nun, ob eine Überlastung der Anwendung durch Aufruf einer rechenintensiven Funktion möglich ist. Alice meint, dass die PDF-Generierung eine aufwendige Funktion ist. Bisher wird mit der E-Mail ein Link zum PDF verschickt und das PDF wird bei jedem Aufruf des Links neu mit dem Ergebnis aus der Datenbank generiert. Dies könnte ein Angreifer verwenden um sehr oft den Link automatisiert aufzurufen und somit die Anwendung überlasten. Bob gibt Alice recht und stellt gleich eine mögliche Lösung für das Problem vor. Indem das PDF nur einmal generiert und dann abgespeichert wird, entfällt die rechenintensive PDF-Generierung bei jedem Linkaufruf. John bestätigt dies und stellt eine weitere Lösungsmöglichkeit vor. Statt einen Link mit der E-Mail zu verschicken, könnte man das PDF einmal generieren und dann als Anhang direkt verschlüsselt mit der E-Mail an den Endnutzer schicken. Um das Problem nicht zu vergessen werden kurz sowohl das Problem als auch mügliche Lösungen notiert. Da es sich um einen potentiell möglichen Angriff gehandelt hat, verbleibt die Karte offen auf dem Tisch.

Als nächstes ist Bob an der Reihe. Da Bob nur eine einzige Karte der Kategorie Denial of Service auf der Hand hält, welche auch noch einen höheren CVSS-Score als die zuvor von Alice gelegte Karte hat, beschließt er diese auch zu legen:

Die drei sind sich schnell einig, dass dieser Angriff bei ihrer Applikation nicht möglich ist, da es keine Möglichkeit gibt Dateien hochzuladen. Die PDF-Generierung findet von der Anwendung selbst statt. Deshalb wird die Karte umgedreht und auf einen separaten Stapel gelegt.

John legt nun folgende Karte, um damit die zuvor von Alice gelegte Karte zu übertrumpfen:

John begründet die Machbarkeit des Angriffs damit, dass der verwendete Webserver nginx in der Standardkonfiguration anfällig gegenüber Slow-HTTP-Angriffen ist. Nach einer kurzen Recherche geben Alice und Bob ihm recht und John legt die Karte auf die von Alice und fügt zu den Notizen hinzu, dass die Standardeinstellungen von nginx vor dem Deployment zu ändern sind. Da keiner der Spieler eine Karte der Kategorie Denial of Service mit einem höheren CVSS-Score als 7,5 auf der Hand hält, bekommt John die zwei Punkte und legt die beiden Karten vor sich ab.

Nun ist Bob an der Reihe eine Karte zu legen. Er entschließt sich mit einem geringen CVSS-Score zu beginnen und legt die folgende Karte auf den Tisch:

John meint, dass die Cloud-Instanz über eine Firewall verfügt und deshalb kein Scan der Anwendung möglich ist. Bob widerspricht dem und weist daraufhin, dass es zwar eine Firewall gibt, diese aber nicht so konfiguriert ist, dass Schwachstellenscans automatisch erkannt werden (Intrusion Detection System) sondern bisher nur auf Basis von Ports der Netzwerkverkehr gefiltert wird. Alice gibt Bob recht und auch John sieht ein, dass er mit seiner anfänglichen Behauptung falsch lag. Die drei fügen die Konfiguration der IDS-Funktion auf der Firewall zu ihrer Liste hinzu.

John beschließt die Karte von Bob zu übertrumpfen und legt:

Alle sind sich einig, dass die geteilten Accounts der Testzentren ein Problem darstellen. Somit kann nicht nachvollzogen werden welcher Mitarbeiter im Testzentrum ein Testergebnis hinzufügt oder ändert. Die Karte wird also auf die zuvor gelegte Karte gelegt.

Nun hat Alice die Möglichkeit die Karte zu übertrumpfen. Sie sieht, dass bald eine Stunde seit Beginn des Spiels vergangen ist und entscheidet sich deswegen nun den Joker zu legen. Der Joker übertrumpft die Karte mit einem unbekannten Zero-Day-Exploit und Alice bekommt die drei Karten und drei Punkte.

Da die Stunde nun vorbei ist, beschließen die drei das Threat Modeling für heute zu beenden und möchten die Notizen gleich als Tickets in das Projektmanagementsystem überführen. Alice hat mit drei Punkten vor John mit zwei Punkten das Spiel gewonnen. Da sie alle die Erkenntnisse aus dem Spiel für sehr gewinnbringend halten, nehmen sie sich vor in der nächsten Woche ein etwas ausgiebigeres Threat Modeling von drei Stunden Dauer wieder mit Hilfe des Kartenspiels durchzuführen.

Unter dem Motto „Informationssicherheit sichtbar machen“ gibt es ein buntes Programm zum Mitmachen: Von spannenden Live-Hacking-Vorträgen über eine praktische Setup-Station zum Einrichten des eigenen Yubikeys bis hin zur Ausstellung von Hacking-Werkzeugen zeigen unsere Sicherheitsberater eine breite Palette an wissenswerten Inhalten. An der Tschunk-Bar, auf unserer Dachterrasse, mit Kartenspiel, Lötstation & Co. laden wir zum gemeinsamen Tüfteln und Verweilen ein.

Live gehackt

Wer effektiv schützen will muss wissen wie angegriffen wird. Dass auch Hacking zum Geschäft eines Informations­sicherheits­beraters gehört, zeigen die Mitarbeiter von aramido in drei spannenden Live-Hacking-Vorträgen. So werden aktuelle Bedrohungen über Smartphones und moderne Sprachassistenten wie Alexa vorgestellt sowie der Cold-Boot-Angriff auf die Festplatten­verschlüsselung demonstriert. In dem Vortrag „Wer ist TOM?“ geben die Gastreferentin Rechtsanwältin Irene Chemnitzer von der Wirtschafts­rechts­kanzlei ARFMANN Rechtsanwälte und Armin Harbrecht, Geschäfts­führer der aramido GmbH, einen Einblick, wie technische und organisatorische Maßnahmen für mehr Sicherheit bei der Verarbeitung personen­be­zogener Daten sorgen.

Hacker Tools

Einen Überblick über das Handwerks­zeug der Penetrations­tester bekommt man bei der Ausstellung von aramidos Hacker-Werkzeugen. Vom WLAN-Pineapple bis zum Rubber Ducky lässt sich erfahren, wie mit unscheinbaren Tools großer Schaden angerichtet werden kann.

Sichere Multifaktor-Authentifizierung

Wer sich seinen eigenen Yubikey für sichere Multifaktor-Authentifizierung einrichten möchte, wird bei der Yubikey-Setup-Station fündig. Dort zeigen die Sicherheitsberater von aramido wie es geht und helfen bei der Konfiguration des Hardwaretokens. Für die Teilnahme bitte bis zum 24. Juni über anmelden, die Teilnehmerzahl ist begrenzt. Gerne kann das eigene Laptop mitgebracht werden, um den Yubikey noch vor Ort einzurichten und auszuprobieren. Der Yubikey kann direkt bei aramido erworben werden. Ein Beispiel für sichere Logins durch WebAuthn und warum das vor Phishing-Angriffen schützt wird in diesem Blogartikel beschrieben.

Application Threat Modeling spielend einfach

What could (possibly) go wrong? Nicht erst seitdem 2021 der Punkt „Insecure Design“ an die vierte Stelle der OWASP-Top-Ten-Liste aufgenommenen wurde, steht fest, dass Sicherheitsanforderungen möglichst früh im Entwicklungsprozess berücksichtigt werden sollten. Eine der Techniken, um dies zu tun, ist das Application Threat Modeling. Aus den Erfahrungen vieler Threat-Modeling-Workshops und inspiriert durch andere Threat-Modeling-Kartenspiele hat aramido ein für Webanwendungen spezialisiertes Threat-Modeling-Kartenspiel entwickelt. Anhand einer Beispielanwendung können die Teilnehmer ihre Threat-Modeling-Skills spielend einfach in der Praxis trainieren.

Biometrie - Vertrau ihr nie

Passend zum Smartphone-Hacking-Vortrag können die Besucher mit kinderleichten Tricks und alltäglichen Materialien ihren eigenen Fingerabdruck klonen. Es ist erstaunlich, wie positiv entsprechende Sensoren darauf reagieren!

Sicher Laden mit dem USB-Kondom

Wer selbst aktiv werden will hat beim Löt-Workshop die perfekte Chance ein eigenes kleines Gadget anzufertigen. Mit Lötkolben und Gehäuse aus dem 3D-Drucker erstellen sich die Besucher ihr eigenes USB-Kondom. Mit diesem nützlichen Tool kann man Geräte guten Gewissens an fremden USB-Ports laden.

Kryptografie ganz leicht

Kryptografie ist häufig die Grundlage für Sicherheit in Informations­systemen. Ohne die Möglichkeit Daten zu verschlüsseln und somit effektiv vor Zugriff zu schützen wären die meisten Sicherheits­ziele schlicht nicht erfüllbar. Doch auch die heute komplexe Kryptografie hat einmal klein begonnen. Anhand der KryptoBox der Pädagogischen Hochschule Karlsruhe, die speziell für Schüler von der 1. bis zur 10. Klasse entwickelt wurde, erlangen Groß und Klein leichten und spielerischen Zugang zu diesem hoch­spannenden Themenfeld.

Programmüberblick

Änderungen vorbehalten

Vorträge

Rahmenprogramm

• Tschunk-Bar
• USB-Kondom-Lötstation
• Threat-Modeling-Kartenspiel
• Fingerabdruck-Attrappe
• Yubikey-Setup-Station
• Hacking-Gadget-Ausstellung
• Krypto-Box

Ein Backup (deutsch Datensicherung) ist eine Kopie von Daten mit der Absicht, diese im Fall eines Datenverlusts wiederherstellen zu können.

Die vom BSI ausgerufene höchste IT-Bedrohungslage Rot sorgte Ende letzten Jahres in der Security-Szene für ein heilloses Durcheinander. Viele Administratoren und IT-Verantwortliche schoben Extraschichten am Wochenende, um den Folgen der Sicherheitslücke Log4Shell in den eigenen Systemen nachzugehen und den Schaden möglichst gering zu halten. Log4Shell gilt rückblickend als eine der größten Softwareschwachstellen, die es je gegeben hat. Die Schwachstelle in der Java Logging-Bibliothek Log4j ist deswegen so bristant, weil Java überall enthalten ist – in Amazons AWS, in der Google Cloud Platform sowie in der Apple iCloud, in Microsoft Azure, VMware, in Produkten von Atlassian, Cisco und Oracle sowie in Web-Diensten wie Wikipedia und Twitter. Angreifer konnten aus der Ferne Server attackieren, auf denen die entsprechende Log4j-Version betrieben wurde. Eine Authentifizierung war nicht nötig. Es war ein Leichtes, beliebigen Schadcode in das Log eines Programms zu schreiben. Dank des darin implementierten JNDIs interpretierte Log4j diesen von außen stammenden Code und lies ihn ausführen. Den Angreifern gelang es somit die vollständige Kontrolle über den Server sowie angeschlossene Geräte zu erhalten, sensitive Informationen zu stehlen oder zu manipulieren.

Der Fall zeigt, wie weit verbreitet und gleichzeitig verborgen Sicherheitslücken sein können. Obwohl Ende Dezember die IT-Branche alles dafür tat betroffene Systeme aus dem Verkehr zu ziehen und abzusichern, wird vermutet, dass es eine große Dunkelziffer von Systemen gibt, die unbemerkt kompromittiert wurden. Angreifer hatten lange genug Zeit die Schwachstelle unbemerkt auszunutzen, bevor die Lücke geschlossen wurde. Problematisch ist, dass in diesem Fall das Patchen der Schwachstelle Log4Shell nicht ausreicht. Viele vermeintlich sichere Systeme könnten bereits von Eindringlingen eingenommen sein, die zielgerichtete Angriffe mit Verschlüsselungstrojanern und Erpressungsversuchen vorbereiten.

Ist der Verschlüsselungstrojaner erst einmal ausgeführt, sind alle Daten weg.

Angreifer verschlüsseln immer häufiger die Daten von Institutionen in mehrstufigen Angriffen, um Lösegeld zu fordern. Im vergangenen Jahr beobachtete das Bundesamt für Sicherheit in der Informationstechnik einen Anstieg von kriminellen Erpressungsmethoden. Hierbei wurde vor allem auf die sogenannte Double Extorsion gesetzt, bei der neben der Verschlüsselung mit der Veröffentlichung von gestohlenen Daten gedroht wird.

Angriffe durch böswillige Hacker oder sonstige Informationssicherheitsvorfälle, wie Datenverlust durch Unachtsamkeit oder technischen Defekt, sind mittlerweile nicht mehr auszuschließen. Man kann sich trotzdem schützen, indem man sorgsam mit seinen Daten umgeht und diese frei nach dem Motto „Doppelt hält besser“ lieber ein Mal zu viel als ein Mal zu wenig sichert.

Die aktuellen Entwicklungen sollte jeder zum Anlass nehmen, sich seiner persönlichen Backup-Routine zu widmen. Nicht nur Privat, sondern auch im professionellen Umfeld, sind regelmäßige Datensicherungen leider noch nicht selbstverständlich. Dem Praxisreport des DsiN (Deutschland sicher im Netz e.V.) zufolge, führte 2020 ein Viertel der befragten KMUs keine oder nur unregelmäßige Backups durch. Auf dieses Missverhältnis macht der Welt-Backup-Tag am 31. März jährlich aufmerksam. Er soll daran erinnern, re­gel­mäßig für die Sicherheit der eigenen Daten zu sorgen. Definieren Sie Ihren eigenen Rhythmus – und denken Sie nicht nur am 31. März an die Sicherung Ihrer Daten.

Gegen was sollen die Daten geschützt werden?

Bevor mit einer willkürlichen Datensicherung begonnen wird, muss zunächst die Frage beantwortet werden, gegen welche Arten von Verlust die Daten geschützt werden sollen. Zwar trägt eine Spiegelung von Daten, zum Beispiel durch ein RAID-System, zur Verfügbarkeit von Daten und Systemen bei, doch handelt es sich dabei nicht um ein Backup im eigentlichen Sinne. Wer eine Festplattenspiegelung im Einsatz hat und eine Datei versehentlich löscht, der wird diese Datei auf beiden Festplatten löschen, da auf beiden Datenträgern zur gleichen Zeit die gleichen Operationen ausgeführt werden. Folglich kann die Verwendung eines RAID-Systems das Erstellen von Backups nicht ersetzen. Bedrohungen wie Feuer, Überflutungen, technisches Versagen, Diebstahl oder Verlust lassen zudem einige Anforderungen an Daten­sicher­ungen erkennen: Ein Backup sollte auf einem qualitativ hoch­wer­tigen Datenträger an mindestens einem weiteren, räumlich weit genug entfernten Standort gelagert werden, der vor Feuer, Wasser und Diebstahl sicher ist.

Wie schnell muss eine Wiederherstellung stattfinden?

Neben der Frage, vor welchen Bedrohungen ein Schutz bestehen soll, muss im Rahmen des Business Continuity Managements (BCM) auch geklärt werden, wie schnell das Backup wiederhergestellt werden muss und wie groß der Datenverlust maximal sein darf. Zwei Kennzahlen spielen hier eine wichtige Rolle: die maximal tolerierbare Ausfallzeit (MTA) und der maximal tolierbare Datenverlust (MTD). Zur Veranschaulichung beider Begriffe unterstützen uns zwei einfache Beispiele: Wird auf einem Server ein Dienst betrieben, der für die Steuerung einer Anlage benötigt wird, können bereits Dienst­unter­brechungen im Sekunden- oder Minutenbereich hohe Schäden verursachen. Die maximal tolerierbare Ausfallzeit ist also sehr gering. Hochverfügbarkeit, also die Fähigkeit eines Systems trotz eines Ausfalls einzelner Komponenten den Betrieb zu gewährleisten, muss durch adäquate Techniken wie re­dundante Dienst­aus­legung und Hot-Standbys gewährleistet werden.

Anders stellt sich die Situation im zweiten Beispiel dar: Angenommen wir sprechen vom zentralen E-Mail-Server eines Unternehmens, das Kundenanfragen per E-Mail erhält und verarbeitet. Im Falle eines Ausfalls würden unmittelbar hohe Kosten entstehen, da keine weiteren Kundenanfragen entgegen­ge­nom­men werden könnten. Die maximal tolerierbare Ausfallzeit würde also maximal im niedrigen Stundenbereich liegen. Ein möglicherweise entstehender Datenverlust würde allerdings zum Verlust der aktuell sich in Bearbeitung befindlichen Aufträge führen. Bereits der Verlust der Daten der letzten 24 Stunden wäre für das Unternehmen also sehr kostspielig. Backups müssten demnach in sehr kurzen Zeitabständen erfolgen, um den Frust auf Seiten der Kunden und die Verluste des Unternehmens im Rahmen zu halten. Der maximal tolerierbare Datenverlust wäre in diesem Beispiel also als gering einzuschätzen.

Wie sollen Datensicherungen rotiert, gespeichert und gelöscht werden?

Sind beide Anforderungen geklärt, stehen die meisten Admins unmittelbar vor der nächsten Hürde: Wie genau sollen Datensicherungen rotiert, also angelegt, gespeichert und nach Ablauf ihrer Gültigkeit wieder gelöscht werden? In der Praxis hat sich das sogenannte Generationenprinzip oder auch Großvater-Vater-Sohn-Prinzip bewährt. Hierbei werden mehrere Sicherungsgenerationen nach einem bestimmten Schema parallel vorgehalten, um eine möglichst weitreichende Sicherung in die Vergangenheit zu erreichen und gleichzeitig den Bedarf an Speicherplatz und damit die Kosten im Rahmen des Machbaren zu halten. Das Generationenprinzip lässt sich prinzipiell auf alle Arten von Backups anwenden.

Ein einfaches Beispiel für eine Datensicherung nach dem Generationenprinzip wäre wie folgt: Zunächst werden tägliche, als "Sohn" bezeichnete Sicherungen der Daten angelegt und – je nach ermitteltem MTD – mit einer bestimmten Aufbewahrungsfrist versehen. Am Ende jeder Woche wird ein weiteres Wochenbackup erstellt, das als "Vater" bezeichnet wird und mit einer abweichenden, in der Regel längeren Aufbewahrungsfrist versehen wird. Nach vier Wochen wird ein Monatsbackup – der "Großvater" – erstellt, der wiederum für eine bestimmte Zeit aufbewahrt wird.

Gerade die aktuell akute Bedrohung durch Verschlüsselungstrojaner macht die Vorteile des Ge­nerationen­prin­zips deutlich. Bleibt die Malware unentdeckt und schafft es, mehrere Backups der "Sohn-" oder sogar der "Vater"-Generation zu verschlüsseln, so bleibt trotzdem eine größere Chance, dass aus den Vorwochen noch ein integeres Backup übrig ist. Ohne Anwendung des Ge­nerationen­prin­zips wäre dies nur unter hohen Kosten möglich, da Tagesbackups für einen sehr langen Zeitraum aufbewahrt werden müssten.

Voraussetzung hierfür ist natürlich, dass Backups auf einen anderen Server als dem Befallenen übertragen wurden und dieser ausreichend vor einem sich im Netzwerk ausbreitenden Angreifer geschützt wurde. Grundlage hierfür ist ein ausgeklügeltes Netzwerkkonzept, das durch aus­reichen­de Segmentierung und Härtung der Systeme sicherstellt, dass sich Angreifer nicht un­ge­hindert im Unter­nehmens­netz­werk ausbreiten können. Backups sollten dabei ähnlich wie die Kronjuwelen nur für besonders privilegierte Benutzer erreichbar sein.

Welche Arten von Backups sind geeignet?

Je nachdem, wie häufig Daten sich ändern, können unterschiedliche Herangehensweisen für Datensicherungen gewählt werden. Unter einer Komplettsicherung versteht man eine Kopie aller zu sichernden Daten. Sie ist Ausgangspunkt für differenzielle oder inkrementelle Sicherungen, die zu einem späteren Zeitpunkt erfolgen. Bei der differenziellen Sicherung werden nur diejenigen Dateien gesichert, die sich seit der letzten Komplettsicherung verändert haben, was Speicherplatz spart. Noch platzsparender ist das inkrementelle Backup, bei dem nur die Daten gesichert werden, die sich seit dem letzten inkrementellen Backup verändert haben. Gerade in Zeiten von Virtualisierung kommt der Speicherabbildsicherung eine wachsende Rolle zu. Bei dieser Art des Backups wird der gesamte Datenträger, beispielsweise die Festplatte oder die Partition, gesichert, was auch eine sehr rasche Wiederherstellung ermöglicht.

Bestimmte Systeme haben spezielle Anforderungen an die Art und Weise, wie eine Sicherung durch­ge­führt werden kann. Um Inkonsistenzen bei Datenbanken zu vermeiden, kann es sein, dass diese vor einer Sicherung heruntergefahren werden muss. In diesem Fall spricht man von einem Cold Backup. Im Gegensatz hierzu kann bei einem Hot Backup eine Sicherung der Datenbank im laufenden Betrieb hergestellt werden. Dabei sollte jedoch technisch sichergestellt werden, dass die Konsistenz aller Daten im Speicherabbild sicher­ge­stellt wird, wenn eine Sicherung im laufenden Betrieb durchgeführt wird.

Ist das Backup verschlüsselt und funktionsfähig?

Die Speicherung von Backups in der Cloud erfreut sich immer größerer Beliebtheit. Leistungsfähigere Internetleitungen und günstige Preise für Cloud Speicher erlauben die Speicherung von Datensicherungen off-site (außerhalb des Standorts), wobei die Sicher­stellung der Vertraulichkeit der Daten besonders relevant wird. Grundsätzlich sollten Backups verschlüsselt werden, insbesondere wenn sie in der Cloud liegen. Dies beugt dem Daten­dieb­stahl von Backup-Datenträgern vor und ist ohnehin eine häufige re­gula­torische Anforderung.

Aller Aufwand für die Datensicherungen ist umsonst, wenn im Fall der Fälle die Wieder­her­stellung der Backups nicht funktioniert. Deshalb ist es wichtig nach der Erstellung einer Sicherung diese auf ihre Konsistenz hin zu überprüfen, wofür das Sicherungs­pro­tokoll wichtige Hinweise liefert. Schließlich bringen aber nur regelmäßige Wiederherstellungsversuche das Vertrauen in den Backup-­Prozess. Bei einem Wiederherstellungsversuch auf einem Testsystem kann man erkennen, ob alle Daten problemlos hergestellt werden, wie lange der Versuch dauert und ob es zu unvorhergesehenen Problemen kommt.

Haben Sie für den Ernstfall vorgesorgt?

Datensicherungen sind eine wesentliche Komponente eines Sicherheitskonzepts. Werden Daten durch Verschlüsselungstrojaner, einen technischen Defekt oder höhere Gewalt zerstört, kann dies schwerwiegende Folgen haben. Klären Sie, gegen welche Bedrohungen Sie Ihre Daten schützen müssen und wie schnell eine Wiederherstellung stattfinden muss. Wer ein Auge auf regelmäßige, verschlüsselte und wiederherstellbare Datensicherungen hat, ist für den Ernstfall gut gewappnet.

In Microsoft Teams befindet sich eine offene Nachricht. Die Person, die Ihnen geschrieben hat, scheint ein Kollege zu sein, der dringend Informationen benötigt. Unter seinem Benutzernamen steht als Organisationszugehörigkeit der Name Ihrer Firma. „Microsoft Teams ist ein internes Tool” denken Sie sich und die Organisation stimmt auch. Also schnell dem Kollegen die Informationen geben, die er so dringend braucht, damit dieser ebenfalls gut in die Woche starten kann.

Doch leider war der angebliche Kollege in Wahrheit ein trickreicher Angreifer, der Sie getäuscht hat.

Wie war das möglich?

Tishing ist eine neue Technik des Phishings

Phishing ist heutzutage ein allgegenwärtiger Trick von Angreifern, die es auf Zugangsdaten abgesehen haben. Davon spricht man, wenn Angreifer per E-Mail versuchen Passwörter zu Fishen, also abzugreifen. Neben dem Phishing haben sich in den letzten Jahren auch SMiShing (Angriffe per SMS) und Vishing (Angriffe über Telefon - Voice) etabliert.

Mit der wachsenden Popularität von Microsoft Teams in den letzten Jahren, durch stark vermehrtes Home-Office, ist eine neue Technik, wir nennen sie Tishing, hinzugekommen. Tishing bezeichnet das Phishing über Microsoft Teams. Angreifer geben vor, vertrauenswürdige Personen oder Instanzen zu sein, um dem Opfer sensible Daten zu entlocken oder Malware zu verbreiten. Die Maschen sind die gleichen wie beim klassischen Phishing über E-Mail. Meist wird durch Autorität und Dringlichkeit versucht Druck aufzubauen, sodass kein Spielraum mehr für eine Absprache oder Überprüfung des Sachverhalts bleibt.

Angreifer entlocken sensible Daten über Microsoft Teams

Entgegen der ersten Vermutung ist Microsoft Teams, zumindest in der Standardkonfiguration, kein rein internes Tool. Jegliche Benutzer der Plattform können beliebige andere Benutzer anschreiben. Dabei ist es nebensächlich, ob dieser sich innerhalb einer Firmendomäne befindet oder nicht. Hinzu kommt, dass die Organisationszugehörigkeit von einem Nutzer frei gewählt werden kann. Für nur einen kleinen Betrag im Monat kann jeder eine Organisation „gründen” und diese nach Belieben benennen. Anschließend muss nur noch ein geeignetes Ziel gewählt und angeschrieben werden. Außer an der Nennung des Organisationsnamens unter dem Benutzernamen ist der externe Chatpartner nur noch an einer Box mit der Aufschrift „Extern” rechts neben dem Namen zu erkennen. Unsere Erfahrung zeigt, dass diese Hinweise leicht übersehen oder nicht beachtet werden.

Angriffe über externe Instanzen können technisch verhindert werden

Gegen solche Angriffe kann in der Konfiguration von Microsoft Teams durch Administratoren Abhilfe geschaffen werden. Der Zugriff von externen Organisationen auf die eigene Microsoft-Teams-Instanz ist standardmäßig aktiviert. Daher sollten im Teams Admin Center unter Benutzer > Externer Zugriff Optionen wie Bestimmte Domänen blockieren oder Alle externen Domänen zulassen auf keinen Fall verwendet werden, sondern mit folgenden Alternativen ersetzt werden:

1. Die beste Wahl für besagte Einstellung unter Benutzer > Externer Zugriff ist Alle externen Domänen blockieren. Dadurch wird generell der Zugriff von außen deaktiviert.
2. Wird der Zugang, zumindest zu bestimmten externen Organisationen benötigt, sollte ein Ansatz mit einer Positivliste gewählt werden. Dies kann mit der Option Nur bestimmte externe Domänen zulassen umgesetzt werden.

Weitere Informationen zur Konfiguration können Administratoren der Microsoft Teams Dokumentation zur Verwaltung des externen Zugriffs entnehmen.

Die generellen Regeln zum Schutz vor Social Engineering gelten auch fürs Tishing

Sollten diese Maßnahmen seitens Administratoren nicht umgesetzt werden, wird ein externer Zugriff erlaubt. Aus diesem Grund sollten Microsoft-Teams-Nachrichten von neuen, unbekannten Chatpartnern auf dieselbe Art und Weise wie jegliche andere Kommunikationsversuche, wie zum Beispiel per E-Mail, behandelt werden.

Speziell gilt es dann im Hinterkopf zu behalten, dass eine Chat-Nachricht nicht zwangsweise aus der eigenen Organisation stammen muss. Daher sollten sensible Daten überhaupt nicht oder zumindest erst nach einer initialen Validierung des Chatpartners, über einen zweiten Kanal, versendet werden.

Auch sollten folgende Punkte bei neuen Chat-Anfragen beachtet werden:

• Seien Sie immer skeptisch gegenüber der Identität des angeblichen Chatpartners. Achten Sie bei Microsoft-Teams speziell darauf, ob es Hinweise gibt, dass Ihr Chatpartner einer externen Organisation angehört.
• Klicken Sie nie direkt auf Links zu Login-Formularen, sondern öffnen Sie die Webseite manuell im Browser.
• Fragen Sie bei merkwürdigen Anfragen oder bei sensiblen Daten immer über einen zweiten Kanal nach einer Bestätigung.
• Lassen Sie sich nicht unter (Zeit-) Druck setzen.

Diese und weitere Tipps zum Schutz vor Social-Engineering-Angriffen können Sie auch unserem Merkblatt mit effektiven Strategien gegen Social Engineering entnehmen.

Das Open Worldwide Application Security Project (kurz OWASP) veröffentlichte am 24. September die neuen Top 10 der häu­figs­ten Sicher­heits­risiken für Weban­wendun­gen. Zum ersten Mal seit 2010 stellen nicht mehr Injections, sondern ungenügende Zugangs­be­schränkungen die größte Gefahr für Web­an­wen­dung­en dar. Seit der letzten Aus­ga­be der OWASP Top 10 aus dem Jahr 2017 wurden drei neue Kategorien ein­ge­führt und vier Kategorien geändert.

Die Änderungen im Überblick

Injections wurden auf den dritten Platz herabgestuft und enthalten jetzt auch Cross-Site-Scripting (XSS). Diese Änderung erscheint logisch, da XSS schluss­en­dlich auch nur das Ein­fü­gen von nicht ver­trau­ens­wür­digem Code in einen neuen Kontext ist. Mit unseren Ansätzen rund um den Secure Soft­ware De­ve­lop­ment Life­cycle (SSDL) und Threat Modeling fühlen wir uns bei aramido mit dem auf der vier­ten Po­si­tion neu hinzu­ge­kom­menen Risiko Unsicheres Design be­stätigt. Unsere Pe­ne­tra­tions­tes­ter entdecken immer wieder Schwach­stel­len, die bereits im Pla­nungs­pro­zess hätten berück­sichtigt werden müssen. Ein weiterer Neu­an­köm­mling in der Top-10-Liste ist auf dem achten Platz die Fehlerhafte Integritätsprüfung von Software und Daten. Dieser etwas sperrige Punkt be­in­hal­tet unter anderem die in der 2017er-Liste separat ge­führ­te un­sichere De­ser­ia­li­sier­ung, will aber auch die Kategorie der Supply-Chain-Angriffe abdecken, welche spätestens durch die SolarWinds-Angriffe bekannt ge­worden ist. An zehnter Stelle ist schließlich noch mit Server Side Request Forgery (SSRF) eine sehr konkrete Schwach­stel­le aufgenommen worden.

Die Grenzen der OWASP Top Ten

Die Übersicht der Änderungen an der Top-10-Liste zeigt recht gut die Probleme, die eine solche Auf­stel­lung mit sich bringt. Während einige Schwach­stel­len zu breiteren Ka­te­go­rien zu­sam­men­ge­fasst wurden, gibt es andere, enger definierte Schwach­stel­len­arten, die nicht einmal mit den anderen Ka­te­go­rien über­schnei­dungs­frei sind. Dieses Identitäts­pro­blem, was die OWASP-Top-10-Liste eigentlich sein will, wird auch von anderen diskutiert. Dass eine Top-10-Liste nur eine Aus­wahl aller möglichen Schwach­stel­len und nicht das gesamte Risiko­po­ten­tial von Web­an­wen­dun­gen und deren Wahrscheinlichkeiten ausreichend abbildet, liegt in der Natur einer Top-Liste. Die OWASP Top Ten sind also kein Standard, gegen den man Web­an­wen­dungen verifizieren und für sicher befinden könnte (OWASP bietet für diesen Zweck den Application Security Verification Standard (ASVS)). Wie die Autoren der Liste selbst schreiben, sind die Top Ten ein Sensibilisierungs­dokument. Dafür hat die Liste in der Vergangenheit sehr gute Dienste geleistet und wird das auch in Zukunft tun. Zum Beispiel orientieren wir uns bei aramido bei Sen­sibili­sierungs­ver­an­stal­tungen für Entwickler an den Top 10, um für mögliche Schwach­stel­len zu sensibilisieren und eine Diskussion zu Gegen­maß­nahmen einzuleiten.

Die Liste der kritischsten Sicherheitslücken von Webanwendungen

Die OWASP Top 10 - 2021 beschreiben die zehn kritischsten Sicherheits­risiken für Weban­wendungen, zeigen Angriffsvektoren auf und empfehlen Schutzmaß­nahmen, wie man sich vor den Angriffen schützen kann. Sie basieren auf einer umfangreichen Daten­er­hebung der Autoren mit Hilfe der Security Community.

Erhebung der Daten

Die neue Ausgabe der OWASP Top Ten beruht auf statistischen Daten zu häufigen Sicherheitslücken, die in der Vergangenheit über betreffende Branchenkanäle gemeldet wurden. Zudem wurden regelmäßig Umfragen von Branchenexperten durchgeführt, um die vorhandenen Daten mit den aktuellsten Erkenntnissen der Fachleute im Bereich Anwendungssicherheit und Entwicklung abzugleichen.