Wie lässt sich die interne Bedrohung quantifizieren?

Wie lässt sich die interne Bedrohung quantifizieren?

Ich habe diese Woche an einem Twitter-Chat zum Thema Cyber Security Governance teilgenommen. Falls Sie den kompletten Wortwechsel lesen möchten, suchen Sie nach dem Hashtag #ITValue. Ansonsten finden Sie hier eine Zusammenfassung.

Es gab einen fantastischen Austausch zu den verschiedenen Risikofaktoren. Wie erwartet, begann die Diskussion mit den offensichtlichen Bedrohungen von außen, doch sie verlagerte sich schnell auf die internen Bedrohungen. Ein Twitter - Kommentavon Nick Prescot betraf die Quantifizierung der internen Bedrohung. Obwohl Twitter eine tolle Erfindung ist, reichen 140 Zeichen manchmal nicht für eine Antwort aus!

Bis vor wenigen Jahren war man sich überwiegend einig, dass die größten Sicherheitsrisiken von Personen außerhalb des Unternehmens ausgingen. Natürlich gab es auch Einzelfälle, in denen Insider am Werk waren, und die Namen Manning und Snowden waren (und sind auch heute noch) in aller Munde. Es gab jedoch keinen brauchbaren empirischen Beleg. In 2013 fanden diverse Umfragen statt, und unsere schien einen Nerv getroffen zu haben. Laut unserer Umfrage gingen 58 % aller Internetrisiken inzwischen nicht mehr von externen Quellen aus, sondern von internen. Das hieß nicht, dass die Zahl der externen Bedrohungen gefallen war, sondern dass die Zahl der Bedrohungen durch interne Quellen zunahm.

Auch wenn interne und externe Angriffe ähnliche Folgen haben (bei beiden landen kritische Informationen dort, wo sie nicht hingehören, und es entstehen Kosten für Geldbußen und Schadensbehebung), gibt es einen bedeutenden Unterschied bei den Personen, die hinter dem „Angriff“ stecken. Interne Angreifer handeln nicht immer in böser Absicht – im Gegenteil. Die Mehrzahl der Ereignisse, die durch Insider ausgelöst werden, ist einem Fehler geschuldet – entweder durch einen Mitarbeiter, einen Prozess oder eine Richtlinie. In einfachen Fällen hatte ein Mitarbeiter Informationen an die falsche E-Mail-Adresse geschickt oder einen ungeschützten Laptop verloren. Ein weiteres, durchaus gängiges Problem tritt auf, wenn Mitarbeiter Informationen an ihre eigene E-Mail-Adresse schicken oder bei Cloud-Speicherdiensten wie DropBox speichern, um zu Hause weiterarbeiten zu können. Auch wenn dieses Vorgehen nicht böswillig ist, kann es zu einer Datenverletzung führen. Natürlich kann man Richtlinien aufstellen, um solche Vorgänge zu unterbinden, allerdings müssen sie zusätzlich durch Technik gestützt werden. Mit Hilfe von Technologie können Sie Ihre Mitarbeiter über geltende Richtlinien informieren und diese auch durchsetzen, gleichzeitig bleiben Sie jedoch flexibel und können aktuellen Arbeitsprozessen gerecht werden.

Durch den Einsatz von Technologien  – genauer gesagt: Adaptive Data Loss Prevention (A-DLP) – können Sie zudem verhindern, dass Informationen mutwillig von Insidern gestohlen werden. A-DLP meldet etwaige Diebstahlsversuche und ermöglicht dem Unternehmen, darauf einzugehen. A-DLP ist ein Beispiel für eine Sicherheitslösung, die Sie nicht nur vor mutwilligen Angriffen schützt, sondern auch allgemeinen Nutzen bietet.

Niemand befasst sich gerne mit der Quantifizierung von internen Risiken, denn es fällt schwer, sich vorzustellen, dass im Unternehmen potenzielle Cyberkriminelle tätig sind. Betrachtet man jedoch das Gesamtbild, also mit unbeabsichtigten Risiken von innen, fällt es Unternehmen leichter, den Prozess und später die Lösung zu rechtfertigen. Wie bei jeder Risikoanalyse bedarf es angemessener Maßnahmen, um übertriebene Reaktionen zu verhindern. Es geht nicht nur um Risiken und Konsequenzen, sondern auch um die Wahrscheinlichkeit.

Nicht alle Informationen sind für das Unternehmen gleichermaßen wertvoll. Kennt man den Wert, den Ort, wo die Informationen aufbewahrt werden und wer darauf zugreifen kann, lässt sich leichter ein System zum Schutz von Informationen aufbauen und das Risiko verringern. Bezüglich Bedrohungen durch interne Mitarbeiter lautet die Devise: verminderter Zugriff auf Informationen bedeutet auch ein vermindertes Risiko. Wichtig ist, sicherzustellen, dass jemand Informationen auch wirklich benötigt. Hätte man Manning und Snowden dadurch aufhalten können? Wahrscheinlich nicht, doch die Konsequenzen wären deutlich kleiner ausgefallen.

Tipps & Tricks für SWG Anwender

WEBINAR

Tipps & Tricks für SWG Anwender

27. März 2018 14:00 - 14:30 Uhr Das Webinar richtet sich an alle Clearswift-Kunden und vermittelt Tipps & Tricks im Management der Secure Web Gateways....

Tipps & Tricks für SWG Anwender

27. März 2018
14:00 - 14:30 Uhr
Das Webinar richtet sich an alle Clearswift-Kunden und vermittelt Tipps & Tricks im Management der Secure Web Gateways.

Tipps & Tricks für SEG Anwender

WEBINAR

Tipps & Tricks für SEG Anwender

23. März 2018 14:00 - 15:00 Uhr Das Webinar richtet sich an alle Clearswift-Kunden und vermittelt Tipps & Tricks im Management des SECURE Email Gateways...

Tipps & Tricks für SEG Anwender

23. März 2018
14:00 - 15:00 Uhr
Das Webinar richtet sich an alle Clearswift-Kunden und vermittelt Tipps & Tricks im Management des SECURE Email Gateways

Welche Abteilungen sind besonders anfällig für Datenverlust?

Welche Abteilungen sind besonders anfällig für Datenverlust?

Aktuelle Studien von Clearswift haben ergeben, dass das größte Sicherheitsrisiko von der Buchhaltung sowie der Personalabteilung und deren Mitarbeitern ausgeht.

48 %, und somit fast die Hälfte der 500 Sicherheitsexperten, die weltweit für diese Studie befragt wurden, gaben an, dass die Buchhaltung ein potenzielles Sicherheitsrisiko darstellt. Für die Personalabteilung betrug die Antwort 42 % (bei Experten aus Großbritannien bei 40 % bzw. 48 %).

Diese Bedenken wurden durch verzögerte Reaktionen auf Mitarbeiterfehler in diesen Abteilungen begründet, z. B. wenn Gehaltsinformationen oder Kundendaten an den falschen Empfänger gesendet werden oder versehentlich Malware installiert wird, aber auch durch den mutwilligen Diebstahl von Daten durch Mitarbeiter oder Subunternehmer, wie kürzlich beim Hacker-Angriff auf Ashley Madison.

Zum Teil entsteht diese Gefahr, weil in diesen Abteilungen der größte Zugriff auf vertrauliche Daten herrscht. Andererseits deuten die Ergebnisse auch darauf hin, dass kulturelle Faktoren eine Rolle spielen, weswegen Mitarbeiter in diesen Abteilungen ein größeres Risiko darstellen. Rechts- und Compliance-Abteilungen, in denen ähnlicher Zugriff auf vertrauliche Daten herrscht, wurden als deutlich geringeres Risiko eingestuft (nur 16 % äußerten Sicherheitsbedenken).

Zudem ergab Studie, dass Mitarbeiter auf mittleren Rängen ein größeres Risiko darstellen. 37 % der Befragten gaben an, dass die größte Bedrohung von Mitarbeitern im mittleren Management ausgeht. Für das gehobene Management lag der Wert hingegen nur bei 19 % und in der Geschäftsführung sogar nur bei 12 %. Das mag daran liegen, dass sich Mitarbeiter im gehobenen Management allgemein der Konsequenzen von Datenverlusten bewusst sind, während Mitarbeiter auf niederen Rängen oft keinen Zugriff auf Daten mit Gefahrenpotenzial haben.

Führungskräfte mittlerer Ränge und mittleren Alters liegen mittendrin: Sie haben Zugriff auf relevante Daten, sind von den Konsequenzen eines Datenverlusts jedoch nicht betroffen. Außerdem stehen sie häufiger unter zeitlichem oder finanziellem Druck und sind somit eher geneigt, Risiken einzugehen. Das bringt sie in eine Position, in der sie leichter Fehler machen und sich eher zu Verstößen hinreißen lassen.

Überwältigende 79 % der Befragten gab an, dass sie bei Männern größere Bedenken hätten als bei Frauen. Vielleicht gelten Frauen einfach als vorsichtiger, doch es könnte auch bedeuten, dass Männer mutmaßlich mehr Umgang mit vertraulichen Daten haben.

67 % der Befragten zufolge stellen Mitarbeiter vor Ort ein größeres Risiko dar als Externe. Trotz der gefühlten Sicherheitsbedenken gegenüber Personen, die extern und mit selbst gewählten Geräten arbeiten, hätten Mitarbeiter vor Ort eher Zugriff auf vertrauliche Daten und könnten diese eher verlieren.

Datenpannen entstehen deutlich häufiger im Unternehmen selbst. Bei 88 % der befragten Firmen war es in den vergangenen 12 Monaten selbst zu einem Sicherheitsvorfall gekommen, und in 73 % der Fälle waren die Verantwortlichen dem Unternehmen bekannt: Mitarbeiter, ehemalige Mitarbeiter, Kunden und Subunternehmer.

Nach Aussage der Sicherheitsexperten sind geschätzt 53 % der Belegschaft in der Lage, unbeabsichtigt eine Datenpanne zu verursachen, und 5 % der Mitarbeiter könnten potenziell eine mutwillige Sicherheitsverletzung verursachen.

Diese Informationen helfen uns dabei, einen Ansatz zur Vermeidung von Datenverlusten zu formulieren. Das soll keineswegs heißen, dass Sie gezielt bestimmte Mitarbeiter ins Visier nehmen sollen. Wenn Sie jedoch das Zusammenspiel der Faktoren kennen, die Personen in bestimmten Rollen zu einem größeren Risiko machen, können Sie Ihre Ressourcen darauf ausrichten, dass solche Pannen nicht passieren.

Cyber Security ist ein Gebiet, das sich ständig verändert. Es erfordert, ein Gleichgewicht zwischen Sicherheit einerseits und der für die Zusammenarbeit nötigen Freiheit andererseits herzustellen. Wir leben in einer komplexen Welt, die stetigem Wandel unterworfenen ist, und welche Bedrohungen es gibt, hängt von den jeweiligen Abteilungen im Unternehmen ab. Durch die Kombination aus umfassendem Wissensstand und adaptiver Sicherheitstechnologien können Sie eine ausgeglichene Strategie entwickeln, um interne Risiken zu mindern: Schutz vertraulicher Daten einerseits und Arbeitsfähigkeit andererseits.

Hacker-Angriff auf die Bundesregierung

Hacker-Angriff auf die Bundesregierung

Wie gestern bekannt wurde, sind Hacker in das IT-Netz der Bundesregierung eingedrungen. Das Bundesinnenministerium bezog nach Bestätigung des IT-Sicherheitsvorfalls Stellung und erklärte, dass der Angriff „isoliert und unter Kontrolle gebracht“ worden sei. Ein Problem im Falle solcher Angriffe ist die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen Advanced Persistent Threat (APT) handelt, kann diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt und entschärft und damit behoben wurde, kann es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.

Es gibt zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden. Durch diese Maßnahme wird sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reicht allerdings nicht aus, um die Gefahr zu bannen. Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gibt es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird. Hierbei handelt es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente werden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, sind Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich kann auch jeder einzelne Mitarbeiter mit einem "potenziellen Stellenangebot" angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt. Diese Art von Mails werden oftmals an persönliche E-Mail-Adressen geschickt mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet - und somit eine Infektion auslöst.

Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, kann das entfernen von ausführbaren Inhalten Abhilfe schaffen. Dies hilft dabei, die Bedrohung entscheidend abzuschwächen, und ist Teil einer adaptiven Data Loss Prevention Strategie. Die Funktion entfernt gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten, der Rest des Inhalts bleibt allerdings unberührt. Hierbei stellt einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so ist der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten Emails zugreifen.

Zusammenfassend kann ein effektives Patch-Management einen Teil dazu beitragen, einen Malware Angriff per Email zu verhindern. Doch effektiven Schutz bietet lediglich eine Lösung zur Emailsicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.  

Kommentar von Michal Kretschmer, VP EMEA von Clearswift RUAG Cyber Security zum Hacker-Angriff auf das Datennetzwerk des Bundes

Dropbox

Welche Gefahren bedeuten Dropbox und Google Drive für die Internetsicherheit?

Mit Hilfe von FSS-Diensten und Cloud-Speicherlösungen wie Dropbox, Onedrive und Google Drive können Dokumente, Fotos und andere Dateien zwischen verschiedenen Plattformen und Geräten ausgetauscht werden. Der Erfolg von Cloud-Speicherdiensten wird vor allem durch die zunehmende Nutzung mobiler Geräte und die Bedürfnisse mobiler Mitarbeiter vorangetrieben, die orts- und geräteunabhängigen Dokumentzugriff benötigen.

Cloud-Speicherlösungen ermöglichen zudem eine einfache Weitergabe von Dokumenten sowie die gemeinsame Nutzung der Dokumente durch mehrere Mitarbeiter.

Ursprünglich waren sie als Verbraucherlösung gedacht, doch viele Anbieter bieten inzwischen geschäftliche Versionen an, um nicht nur Nutzen aus der Beliebtheit der Verbraucherprodukte zu ziehen, sondern außerdem hochwertige Unternehmenslösungen bereitzustellen. Ihren Erfolg verdanken sie ihren zentralen Vorteilen, d. h. ihrem Bedienkomfort und ihrer Benutzerfreundlichkeit. Inzwischen gibt es sowohl standortbezogene als auch standortunabhängige Lösungen.

Während mobiles Arbeiten und die Nutzung privater Geräte und persönlicher Dienste zunehmen, müssen sich Unternehmen mit den Konsequenzen auseinandersetzen, die die Nutzung beruflicher wie privater Cloud-Speicherdienste auf den Sicherheitsansatz des Unternehmens bedeutet.

Durch die Nutzung von Cloud-Speicher (sowohl am Standort als auch unterwegs) versuchen Unternehmen immer häufiger, von den Vorteilen einer verbesserten mobilen Zusammenarbeit zu profitieren. Obwohl diese Unternehmenslösungen diverse Einstellungen hinsichtlich Sicherheit und Zugriff bieten, stehen die Unternehmen enormen Probleme hinsichtlich Informationssicherheit, Compliance und Regulierung gegenüber. Mit Hilfe strenger Regelungen lässt sich vielleicht verhindern, dass bestimmte Daten in der Cloud gespeichert werden, doch festzulegen, wo genau die Grenzen für die Datenregulierung liegen, ist eine komplexe, schwierige und niemals endende Aufgabe.

Über die bereits erwähnten Probleme bezüglich Informationssicherheit und Compliance muss zudem ermittelt werden, wie sich die unternehmenseigenen Maßnahmen zur Informationssicherheit auf die Cloud erweitern lassen. Dazu müssen Prozesse für Informationsrecherche sowie für die Vervielfältigung, Speicherung und Archivierung von Daten berücksichtigt werden.

Fragen, die im Unternehmen gestellt werden sollten:

  • Wie stellen wir sicher, dass nur nicht-vertrauliche Dokumente in private Cloud-Speicher hochgeladen werden können, vertrauliche Dokumente jedoch blockiert werden?
  • Welche Zugriffsfunktionen und Möglichkeiten zum Schutz vor Datenverlust gibt es?
  • Wie können wir bei der Weitergabe von Dateien zuverlässig verhindern, dass vertrauliche Daten in Ordner kopiert werden, auf die auch Dritte zugreifen können?
  • Können wir verfolgen, welche Informationen extern über unregulierte Geräte ausgetauscht werden?
  • Bietet unsere Lösung Schutz vor gezielten Angriffen, die von herkömmlichen Antivirus-/Malware-Lösungen übersehen werden?

Die ultimative Herausforderung

Alle Cloud-Speicherlösungen bieten ähnliche Funktionen: Sie ermöglichen das Hoch- und Runterladen von Inhalten und das Freigeben von Online-Dokumenten. Zudem bieten sie Anwendungen für Endgeräte, über die Dateien lokal gespeichert und synchronisiert werden können. Das bedeutet neue und komplexe Schwachstellen, über die Daten ein- und ausfließen können und die vom Unternehmen gesteuert und überwacht werden müssen.

Die Leichtigkeit, mit der Dokumente mit Kollegen und externen Partnern geteilt und bearbeitet werden können, bedeutet ein stark erhöhtes Risiko, sowohl für versehentliche als auch für mutwillig herbeigeführte Datenverluste. Werden die Möglichkeiten für Weitergabe und Zusammenarbeit jedoch zu sehr durch Sicherheitskontrollen eingeschränkt, werden die Mitarbeiter entweder versuchen, die Kontrollen zu umgehen oder über beschränkte Produktivität klagen.

Dank der Endverbraucherversionen für Cloud-Speicher gelten inzwischen hohe Erwartungen hinsichtlich Zugriff auf und Weitergabe von Informationen, und der gleiche Bedienkomfort sowie ähnliche Kollaborationswerkzeuge werden jetzt auch am Arbeitsplatz erwartet.

Unternehmen müssen also herausfinden, wie sie bei cloudbasiertem Speicher dieselben Vorteile ermöglichen, gleichzeitig aber angemessene, inhaltssensible Datenschutzkontrollen umsetzen können, die sowohl Unternehmensrichtlinien als auch Gesetzesvorgaben erfüllen.

Testen Sie das SECURE Web Gateway kostenlos und unverbindlich – hier geht es zur Produktseite

Document Sanitization and Metadata

Document Sanitization: avoid making your business look foolish

Human error is one of the biggest problems businesses face when it comes to data leaks and unwanted data acquisition. There can be a number of systems in place to ensure that confidential files cannot be shared with unauthorized individuals, however, what’s often overlooked is the hidden metadata attached to everyday documents and files that has the potential to cause major data breaches.

People often forget that most digital office documentation contains automatically created sensitive information – such as the author name, revision history, application software and version number. This is known as metadata, which can be compromising when shared outside of an organization. It is important for businesses to understand how metadata can affect them and how it could result in a potential data breach.

Take for example, if a company creates a proposal in-house by copying a previous document and then revising it to suit the new opportunity, before submitting the proposal to the prospect. If the document had not been sanitized and the revision history removed before sending, the prospect in this example would have a wealth of sensitive information at their fingertips. Anyone with access to that document would be able to see the names of every person that has worked on the proposal or view the revision history such as changes to the original scope of works and budgets.

While this is potentially embarrassing, there is a far more sinister threat when metadata falls into the wrong hands. Metadata is invaluable to cybercriminals. For a hacker, knowing what software version is in use means they can craft an attack around known vulnerabilities in that software. Knowing the author and their email address means they can craft a phishing email with a weaponized attachment. But, how might documents fall into the wrong hands? The simplest route is through the Internet, ‘harvesting’ metadata attached to files on the company website.

Why Now?

The assurance that sensitive data does not leave an organization, or rather never reaches unauthorized recipients, is even more important with the impending enforcement of the GDPR. Good information governance offers a competitive advantage, but with GDPR, there are other requests which can be made for which organizations need to be prepared. The most onerous of which is often called ‘the right to be forgotten’ or RTBF.

After 25th May 2018, individuals, including customers, can request their right to be forgotten, which involves the discovery and potential removal of any and all personal information from your network and systems. Information spreads rapidly, so finding it and then making the decision as to whether it can be removed in an efficient manner is important. This does not necessarily end at the organization boundary. It can also apply to third parties which you have shared the information with. Or vice versa.

Receiving unwanted (or unauthorized) data can create as many challenges as a data leak. This is especially important when implementing RTBF requests. If you haven’t received the data, then you won’t have to find and delete it. For example, a spreadsheet might have been sent, but unknown to the sender, there were hidden columns that contained sensitive information which should have been removed. This unwanted/inadvertent data acquisition makes it even more challenging for organizations to track down and remove the sensitive data to comply with RTBF requests and GDPR in general.

Our recent report ‘The GDPR Divide: Board Views vs Middle Management’ reveals that almost half of board members believed they had duplicated customer data (for example by copying reports to multiple systems), suggesting it is increasingly difficult for organizations to rely on operator initiated processes – such as manual inspections and deletion.

Our whitepaper also reveals that only 17% of employees would actually delete an email that was sent to them from another company in error. Even fewer would make the sender aware, despite it containing sensitive information meaning that customer data is more likely to have been duplicated via unwanted data acquisition without any awareness. When it comes to GDPR compliance, it is critical to tackle this issue and ensure that customer data is not shared either by mistake or on purpose.

With employees already expressing uncertainty at their capabilities of handling RTBF requests, and just a third of management respondents believing the business can handle multiple requests concurrently, businesses need to implement a solution now.

There are two areas where technology can help. The first is preventing unwanted data acquisition. Clearswift's sanitization and redaction technology can automatically detect and remove unauthorized information from inbound documents and files via email and the web, before it enters the network. The second area is data discovery. Clearswift's CIP solution will automatically scan a network for unstructured sensitive data and then move, or remove it, based on the policy applied.

The same Clearswift technology which prevents unauthorized inbound data acquisition can also be used to prevent outbound data loss, without compromising continuous collaboration.

Safety Assured

In order to remove the reliance on manual user processes, there is a need for company-wide systems that can automatically detect when sensitive information is about to be sent or received across an organizations boundary. A system which offers assurance and automatic protection across the entire network without causing a hindrance on the way business is conducted.

Clearswift’s Document Sanitization feature automatically purges common file formats of sensitive data to prevent inadvertent data leaks:

  • Removes outstanding revision changes
  • Clears history and fast-save data that potentially holds embarrassing critical information
  • Completely removes document properties, such as “Author”, “Organization” and “Status”
  • Removes data attached to photos, such as coordinates and other metadata
  • Granularity ensures that specific properties can be preserved, such as classification information

Automation ensures that the policies are consistently applied across an organization. Document sanitization provides assurance that users are sharing documentation and files – either inside or outside of the organization – without posing a data breach threat or a compliance failure.

Document Sanitization is a component of Clearswift’s unique Adaptive Redaction technology, available with Clearswift’s SECURE Email and Web products. It can also be deployed to augment existing (non-Clearswift) email and web products.

Don’t hesitate to contact our team for more information.

Malware mithilfe von Word-Dokumenten

Methoden von Cyberkriminellen werden ausgefeilter: Angriffe über Word ohne Makros möglich

Wie in den letzten Tagen berichtet wurde, verwenden Cyberkriminelle eine neue Methode bei der Verbreitung von Malware mithilfe von Word-Dokumenten. Das bisherige Szenario sah folgendermaßen aus: Angreifer verbreiten ihre Schadsoftware über Microsoft Office-Dokumente wie Word, Excel oder Power Point, in denen Makros integriert sind. Beim Öffnen der Dokumente können dann die Makros ausgeführt werden. Die Benutzer erhalten hierbei zwar automatisierte Warnungen seitens Office wenn eine zu öffnende Datei Makros enthält – allerdings entscheidet der Nutzer, ob er der Ausführung zustimmt.

Die Sicherheitsforscher des Unternehmens Trustwave haben nun eine andere Variante des bekannten Angriffsmusters gefunden. Beobachtet wurde eine Email-Spam-Kampagne, bei der durch die Öffnung des Email-Anhangs ein Programm zum Passwortdiebstahl mitheruntergeladen wurde. Die Malware ist so unter anderem in der Lage, die Anmeldeinformationen von Browsern, Email- und FTP-Clients zu kompromittieren.

Diese bekannte Angriffsart wird nun also noch gefährlicher, da sie ganz ohne Makros funktioniert und Nutzer den Angriff somit noch weniger erahnen können; zudem sind nicht alle Lösungen zur Email-Sicherheit bereits auf diese neue Angriffsart vorbereitet.

Die Frage die sich jetzt stellt ist, wie sich Unternehmen gegen solch einen ausgeklügelten Angriff schützen können? Wichtig ist hierbei: die verwendete Sicherheitslösung muss in der Lage sein, alle Arten von aktiven Inhalten zu entfernen, nicht nur Makros. Im Falle der neuen Angriffsmethode, bei der Makros aktiv umgangen werden, handelt es sich um ein OLE (Object Linking and Embedding)-Objekt, das die Ereigniskette startet, welche den Datenmissbrauch möglich macht. Aus diesem Grund ist es essentiell, Lösungen einzusetzen, die alle Arten von aktiven Inhalten entfernen, einschließlich Malware auf OLE-Basis. Ohne den Einsatz einer umfassenden Lösung, welche die wachsende Bedrohungslage bewusst miteinkalkuliert und auf diese eingeht, machen Unternehmen und Nutzer sich stark angreifbar.

Zusätzlich zum Einsatz der passenden IT-Sicherheitslösung ist es wichtig, dass sowohl das Betriebssystem als auch alle Anwendungen mit den neuesten Patches auf dem aktuellsten Stand gehalten werden. Dadurch werden Schwachstellen geschlossen und erst gar nicht ausgenutzt. Dies ist notwendig, da die Angreifer bei der Malware-Verbreitung schließlich bekannte Schwachstellen einer anderen Anwendung ausnutzen, in diesem Fall des MS Equation Tools. Hierbei ist es wichtig zu betonen, dass das „Up to Date-Halten“ des Betriebssystems und der Anwendungen kein einmaliger Aufwand ist, sondern eine ständige und notwendige Wachsamkeit seitens der IT-Abteilung erfordert. Die Wichtigkeit von Updates kann nicht häufig genug betont werden – ist ein Update verfügbar, sollte es sofort implementiert werden.

Seit einigen Jahren wird Nutzern eindringlich geraten, in keinem Fall Anhänge von unbekannten Absendern zu öffnen – moderne Sicherheits-Gateways für Email und Web haben ausführbare Dateien entfernt, damit dies erst gar nicht möglich ist. Allerdings nimmt die Zahl der Dokumente, die als Mittel für Malware-Angriff genutzt werden, stetig zu. Während Fällen von Ransomware viel mediale Aufmerksamkeit gewidmet wird, werden diese Art von Angriffe immer ausgefeilter und erreichen den nächsten Entwicklungsstand, ohne dass ihnen viel Beachtung geschenkt wird. So gilt auch nach wie vor der Ratschlag, niemals Anhänge unbekannter Empfänger zu öffnen, und sogar im Falle von bekannten Absendern vorsichtig zu sein. Vermutet ein User, mit Malware infiziert zu sein, sollte in jedem Fall schnellstmöglich die IT-Abteilung informiert werden.

Zusammenfassend lässt sich sagen, dass Unternehmen und einzelne Nutzer dieser neuen Bedrohungslage mithilfe einer Lösung zur Emailsicherheit Herr werden können. Voraussetzung ist hier, dass alle aktiven Inhalte von vornherein entfernt werden. Als zusätzliche Maßnahme sollte innerhalb des Unternehmens ein gutes Patch-Management greifen und eine generelle Vorsicht von Nutzern im Umgang mit Email-Anhängen sollte geboten sein. Diese beiden Maßnahmen können solch durchdachte Angriffsmuster allerdings nicht aufhalten, einzig ein effektiver Schutz in Form einer Lösung zur Emailsicherheit kann hier sicher vor Datenmissbrauch schützen.

Kommentar von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security