Blogbeitragsserie: „Darknet – Das Geschäft mit dem Dunklen“ – Haben Sie schon Post? - Wie bewaffnet man sich gegen Hacker? #Datenklau (Teil 3)

Die meisten Autofahrer wissen, wie man einen Unfall verhindert und falls doch was passiert ist, wie man sich zu verhalten hat. Doch wie sieht das beim Thema Datensicherheit aus? Haben Sie sich schon Gedanken gemacht was zu tun ist, wenn Sie eine Erpressungsmail erhalten haben? Um in einer solch hitzigen Situation einen kühlen Kopf zu bewahren, lohnt es sich Gedanken über den Schutz vor Cyber Crime zu machen, bevor es zum Ernstfall kommt. In diesem Blogbeitrag der Beitragsreihe „Darknet – Das Geschäft mit dem Dunklen“ wird erklärt, wie man sich gegen Cyber Crime schützen kann. Da dieser Blogbeitrag auf dem vorherigen aufbaut, empfehle ich Ihnen zunächst den Artikel „Haben Sie schon Post“ zu lesen. In diesem werden die möglichen Angriffsarten erläutert, auf die sich dieser Beitrag bezieht.

Prophylaxe:

Der sinnvollste Schutz gegen Cyberattacken, die auf persönlichen Daten basieren, wäre, wenn die Daten gar nicht erst im Darknet veröffentlich werden. Doch kann man das als Verbraucher überhaupt verhindern?

Nein, kann man tatsächlich nicht. Grund dafür ist, dass sobald man die Daten aus der Hand gegeben hat, man diese nicht mehr selbständig schützen kann. Wenn Sie beispielsweise vor einem Jahr in einem Marriott Hotel eingecheckt haben, dann kann es gut sein, dass Sie einer der 500 Millionen Kunden sind, deren Daten durch Dritte eingesehen werden konnten. Mehr dazu in unserem Blogbeitrag Datenklau in fremden Betten. Sie haben nichts falsch gemacht und trotzdem kann es sein, dass jemand Ihre Kreditkartendaten besitzt. Ob Sie wirklich von dem Hackerangriff betroffen sind, wissen Sie nicht, weshalb eine Sperrung der Kreditkarte nicht sinnvoll ist. Am besten wäre es, wenn Sie wüssten, ob Ihre Kreditkartendaten im Darknet zu finden sind.

Würden Sie eine Benachrichtigung erhalten, sobald Ihre Kreditkarte im Darknet erscheint, dann können Sie sofort bei Ihrer Bank anrufen und die Karte mit einem begründeten Verdacht sperren lassen, bevor etwas passiert. Einen solchen Dienst nennt man Darknet Screening. Wie genau das Screening funktioniert, erfahren Sie in dem übernächsten Blogbeitrag.

Was tun, wenn es zu spät ist?

Was sollte ich als Verbraucher machen, wenn ich Opfer geworden bin, sprich z.B. eine Erpressungsmail bekommen habe? Hier ist es wichtig zu unterscheiden von welcher Attacke Sie Opfer geworden sind. Wenn Sie „nur“ eine schlecht erstellte Phishing-Mail bekommen haben, dann müssen Sie nicht zwangsweise aktiv werden. Eine Markierung der E-Mail als Spam sollte genügen. Sollten Sie eine Mail bekommen, in welcher ein Passwort von Ihnen aufgeführt ist, ändern Sie sofort das Passwort bei allen Diensten, bei denen Sie das Passwort verwenden. Generell ist zu empfehlen, dass Sie jedes Passwort nur einmal verwenden, sodass Credential Stuffing Angriffe  bei Ihnen nicht erfolgreich sein können. Reagieren Sie ansonsten nicht weiter auf die Erpressungsmail und klicken Sie niemals auf dort eingefügte Links.

Sollten Sie Opfer eines Spear Phishing Angriffs sein, lohnt sich ein Gespräch mit Experten, wie z.B. einem Anwalt oder Experten einer Versicherung. Hier muss immer individuell abgeschätzt werden, ob rechtliche Schritte notwendig sind. Einen richtigen Schutz, um Spear Phishing Angriffe zu verhindern gibt es leider nicht.

Hilft eine Cyberversicherung?

Das kommt auf die abgeschlossene Cyberversicherung an, jedoch kann man die Frage im Allgemeinen mit „ Ja“ beantworten. Die Cyberversicherung schützt vor Schäden, die durch Cyber Crime entstehen. Ab dem Moment, wo man als Verbraucher seine Daten aus der Hand gibt, kann man sich nicht mehr selber schützen, sodass ein Schutz vor den möglichen Schäden durch eine Cyberversicherung sinnvoll ist. Besonders, wenn man Opfer von einem Spear Phishing Angriff geworden ist, ist die Cyberversicherung Gold wert.

Wie muss eine solche Cyberversicherung für Privatpersonen aussehen? Welche Erwartungen haben die Kunden und wie wird man diesen gerecht? Diese Fragen werden in unseren nächsten Blogbeitrag der Beitragsreihe „Darknet - Das Geschäft mit dem Dunklen“ beantwortet.

Liebe Grüße!

Linus

Blogbeitragsserie: „Darknet – Das Geschäft mit dem Dunklen“ – Haben Sie schon Post? Ihre Daten im Angebot #Datenklau #Credentialstuffing #Phishing #TORBrowser (Teil 2)

Das Wort ,,Darknet“ taucht immer wieder in der Presse auf. Oft verknüpft mit den Begriffen Drogen und Waffen. Doch was für Dinge lassen sich noch illegal erwerben? Und was für ein Geschäftsmodell steckt dahinter? In diesem Teil der Beitragsreihe ,,Darknet: Das Geschäft mit dem Dunklen“ wird erläutert, wie der Handel mit den Daten im Darknet funktioniert, welches die typischen Angriffe sind und welche Schäden dabei entstehen können.

Für das Wort Darknet gibt es verschiedene Definitionen. Wir, also das Cyber Security Team der PPI AG, definieren Darknet wie folgt:

Darknet
Jede Website, die nicht durch Suchmaschinen, wie Google etc., gefunden werden kann, gehört zum Darknet. Diese Seiten gehören somit zu dem "nicht erleuchteten", sprich dem dunklen Teil des Internets.
Man muss nun also die Internetadresse der jeweiligen Website kennen, um auf diese zu gelangen. Teilweise kann man die Seiten mit dem normalen Browser, wie Firefox oder Google Chrome, besuchen, jedoch benötigte man für manche Seiten einen speziellen Browser, wie z.B. den TOR-Browser.

TOR-Browser
Der TOR-Browser basiert auf dem Firefox-Browser und ermöglicht den Zugriff auf das TOR-Netzwerk. Das Besondere an dem TOR-Browser ist, dass man anonym surft. Durch die Anonymität haben Kriminelle die Möglichkeit illegale Geschäfte anzubieten ohne dabei mit rechtlichen Konsequenzen rechnen zu müssen. Besonders attraktiv sind Geschäfte mit Daten. Während der Kriminelle beim Drogenhandel die Drogen physisch verschicken muss, braucht der Hacker beim Handel mit Daten den Computer nicht zu verlassen. Hier ist schon das primäre Geschäftsmodell zu erkennen: Ein Angreifer hackt ein Unternehmen z.B. einen Online Shop, kopiert persönliche Daten, wie z.B. Ihre Kreditkarteninformationen , die Sie beim Shop hinterlegt haben, und verkauft diese dann im Darknet. Relativ häufig kommt es auch vor, dass die Daten kostenfrei zur Verfügung gestellt werden. Wenn sich ein Hacker z.B. profilieren will, kann dieser einen erfolgreichen Hack bei einem Unternehmen durch die Veröffentlichung der Daten beweisen.

Wer benutzt Daten aus dem Darknet?
Den meisten Nutzen können Kriminelle aus den Daten ziehen. Im Folgenden werden die zwei gängigsten Angriffe kurz vorgestellt.

Credential Stuffing
Bei einem Credential Stuffing Angriff probiert der Angreifer mit erbeuteten Login-Daten (z.B. E-Mail und Passwort) von einer Website sich mit denselben Login-Daten bei anderen Diensten anzumelden. In unserem ersten Blogeintrag der Beitragsreihe wird mit Hilfe eines Gedankenexperiment die Credential Stuffing Methode genauer erläutert.

Die möglichen Schäden eines erfolgreichen Credential Stuffing Angriffs hängen vom jeweiligen Account ab. Bekommt der Angreifer Zugriff zu einem Forum, hält sich der Schaden in Grenzen. Sollte der Angreifer aber Zugriff zu dem E-Mail-Konto, Bankkonto oder beruflichen Accounts bekommen, können die Schäden von finanziellen Verlusten über Reputationsschäden bis hin zur Zerstörung von Existenzen reichen.

Phishing –Angriff
Sie haben bestimmt schon mal eine dubiose Mail bekommen, die Sie dazu leiten sollte auf einen Link zu klicken. Wenn Sie auf den Link klicken, werden Sie aufgefordert Informationen preiszugeben. Beispielweise die Login-Daten für Ihren Online Banking Zugang, weil Sie nur so angeblich verhindern können, dass Ihr Bankkonto gesperrt wird. In der Regel sind solche E-Mails leicht als Fälschungen zu erkennen, da die E-Mail lauter Rechtschreibfehler enthält oder Sie gar kein Konto bei der entsprechenden Bank haben.


Der Angreifer schickt dieselbe Mail an alle E-Mail-Adressen, die er durch das Darknet bekommt und hofft, dass möglichst viele auf den Link klicken. Eine Spezialform des Phishings ist das Spear Phishing. Dabei verfasst der Angreifer E-Mails, die auf Sie persönlich zugeschnitten sind und sehr glaubwürdig erscheinen. Auf dem Bild erkennen Sie eine Phishing-Mail, die sehr gut gemacht ist. Der Angreifer hat den Mailverkehr abgefangen und konnte die vorherige Konversation verfolgen. Durch das Verlaufsprotokoll wirkt die E-Mail sehr authentisch. Die Wahrscheinlichkeit, dass ich das Word-Dokument öffne, liegt bei nahezu 100%. Sobald ich das getan habe, wird meine Festplatte durch einen Trojaner verschlüsselt und ich muss dem Angreifer einen Betrag überweisen, um meinen Computer benutzen zu können.

Sollte eine so gut gefälschte E-Mail dem Angreifer zu viel Aufwand bedeuten und er besitzt neben Ihrer E-Mail auch ein Passwort von Ihnen, dann kann er Ihnen eine Erpressungsmail schreiben, in welcher er droht Ihre Accounts zu hacken, wenn Sie nicht eine Überweisung tätigen. Als Beweis, dass er in der Lage ist Sie zu hacken, schickt er Ihnen Ihr Passwort mit.

Die möglichen Schäden sind bei einem Phishing -Angriff in der Regel finanzieller Natur. Allerdings sind auch hier keine Grenzen gesetzt. Theoretisch kann ein Angreifer auch durch Phishing-Angriffe Zugang zu allen möglichen Accounts bekommen. Ist dies geschehen, sind die Schäden nach oben hin offen.

Um solch enorme Schäden zu vermeiden, sollte man sich als Verbraucher schützen. Wie man sich am besten schützt und welche Rolle eine Cyberversicherung dabei spielt, wird in dem nächsten Blogbeitrag erläutert. 


Viele Grüße
Linus Töbke

Linus Töbke ist ist Cyber Consultant im Bereich Consulting Versicherungen. Er hat Wirtschaftsinformatik dual bei der PPI AG studiert. Seine Schwerpunkte liegen im Bereich Cyberversicherungen für Geschäfts- und Privatkunden. Linus ist Produkt-Manager des Darknet-Screening Tools cysmo® Private API.



www.cysmo.de


Blogbeitragsserie: „Darknet – Das Geschäft mit dem Dunklen“ – Sind alle Hacker = Hacker? #Doxxer #Cyberversicherungen (Teil 1)

Frisch zum Jahreswechsel wurde ein 20-jähriger in Mittelhessen festgenommen. Dieser hatte zum Weihnachtsfest sensible Daten von Politikern und Prominenten veröffentlicht. Insgesamt sind rund 1000 Personen des öffentlichen Lebens betroffen. Der Fall zog viel Medienaufmerksamkeit auf sich, da der „Hacker“ ähnlich wie bei einem Adventskalender jeden Tag neue Informationen über Twitter veröffentlichte. (siehe https://www.golem.de/news/datenleak-festnahme-von-0rbit-1901-138567.html)

Folgende Fragen gehen einem da doch durch den Kopf:

  • Wie ist der Hacker an die Daten gelangt?
  • Kann jeder Bürger, nicht nur Prominente, zukünftig Opfer einer Cyberattacke werden? Wenn ja, wie kann man sich dagegen schützen?
  • Wie hoch ist eigentlich das Bewusstsein bei den Verbrauchern?

Zu den Personen lässt sich sagen, dass sein Bewusstsein tatsächlich nicht mehr am Zahn der Zeit ist. Auf Basis dieser Fragestellungen und im Kontext cysmo, hat die PPI AG eine Umfrage im Rahmen einer Bachelorarbeit durchgeführt. Mehr Details weiter unten im Artikel.

Und was lässt sich zu dem Angreifer sagen?

Der ,,Hacker‘‘ ist eigentlich gar kein Hacker, sondern ein ,,Doxxer‘‘. Der Unterschied zwischen Hacking und Doxxing ist, dass bei einem Doxxing-Angriff in kein System eingebrochen wird, um an Daten zu gelangen, sondern lediglich Informationen zusammen getragen werden, die schon veröffentlicht wurden. (siehe: https://de.wikipedia.org/wiki/Doxing)

Es ist stark davon auszugehen, dass ein Politiker seine private E-Mail mit dem dazugehörigen Passwort oder eine Kopie seines Reisepass nicht einfach im Internet veröffentlicht. Um an solche Informationen zu gelangen, muss man in das Darknet. Dort gibt es bestimmte Foren, in welchen große Datensätze veröffentlicht oder verkauft werden.

Mit Hilfe eines Gedankenexperimentes schlüpfen wir kurz in die Rolle eines Doxxers, um besser verstehen zu können, wie ein Doxxer arbeitet. Wenn das verstanden ist, weiß man, wie man sich gegen einen Doxxing-Angriff wehren kann. Also, wir sind jetzt ein Doxxer und möchten einem Prominenten unserer Wahl (als Beispiel verwende ich Angela Merkel) durch Veröffentlichung privater Informationen schaden. Wir begeben uns ins Darknet und kaufen einen Datensatz mit 50 Millionen E-Mail und Passwortkombinationen für 0,001 Bitcoin (aktueller Wert 7€, Stand 16.05.19). Der Datensatz wird von Hackern verkauft, die verschiedene Unternehmen hacken, um sensible Kundendaten ,,klauen‘‘. Nach einer gewissen Zeit finden wir eine E-Mail Adresse, die zu Angela Merkel passt. So so, die Frau Merkel hat also einen Ebay-Account.

Wir probieren uns mit der E-Mail-Adresse und dem dazugehörigen Passwort dort einzuloggen und tatsächlich ist die Kombination noch aktuell und wir bekommen Zugriff auf ihre letzten Einkäufe. Das reicht uns allerdings noch nicht. Wir probieren das Passwort von Ebay direkt bei ihrem E-Mailkonto aus und haben Erfolg. (Häufig verwenden Nutzer immer das gleiche Passwort in Kombination mit der E-Mail-Adresse, bei verschiedenen Diensten – siehe hierzu den Artikel Passworthygiene). In dem Ausgangs-Ordner finden wir eine interessante Konversation mit einem Reisebüro. Nun kennen wir alle Details des nächsten Urlaubs, die Kopie des Personalausweises von Frau Merkel und ihrem Mann und wissen, dass sie lieber Bahn fährt, als zu fliegen.

Cybercrime gegen Privatpersonen?

Die meisten Bürger sind sich der Cybergefahr nicht bewusst mag man meinen. Aber stimmt das tatsächlich? Die PPI AG hat im Dezember 2018 eine Umfrage zum Thema Cyberversicherungen für Privatpersonen durchgeführt und dabei das Gegenteil festgestellt. Tatsächlich schätzen 90% der Befragten das Thema ,,Cybercrime gegen Privatpersonen`` als relevant oder sehr relevant ein. Als Cybercrime gegen Privatpersonen ist sämtliche Kriminalität zu verstehen, die im Zusammenhang mit dem Internet oder Computern steht. Also z.B. Schadprogramme oder Kreditkartenklau.

Als Versicherer stellt man sich nun die Frage, für wie relevant die Befragten eine Versicherung gegen Cybercrime einschätzen. Und, wie viele der Befragten schon eine Cyberversicherung abgeschlossen haben. Die Antworten auf diese Fragen erfahren Sie in der nachfolgenden Beitragsreihe „Darknet – Das Geschäft mit dem Dunklen“. In dieser wollen wir uns intensiv mit den verschiedenen Perspektiven und Geschäftsmodellen, die aus dem Darknet entstehen, auseinandersetzen. Selbstverständlich liegt der Fokus hierbei neben der Wissensvermittlung, auch auf den Versicherungsunternehmen. Lohnt es sich für ein Versicherungsunternehmen Cyberversicherungen für Privatpersonen anzubieten, wie können diese aussehen und welche Möglichkeiten zusätzlicher Dienstleistungen hat man? Zentral wird es hier vor allem um das Darknet gehen, was hierbei zu beachten ist und wodurch auch ein Nutzen für den Endverbraucher generiert werden kann.


Viele Grüße
Linus Töbke

Linus Töbke ist ist Cyber Consultant im Bereich Consulting Versicherungen. Er hat Wirtschaftsinformatik dual bei der PPI AG studiert. Seine Schwerpunkte liegen im Bereich Cyberversicherungen für Geschäfts- und Privatkunden. Linus ist Produkt-Manager des Darknet-Screening Tools cysmo® Private API.



www.cysmo.de

Cyber-Versicherungen & Zukunftsdefinitionen: Hacks, Cyber-Attacken und ein militärischer Kontext? #Mondelēz

Cyber-Risiken gelten in der Wahrnehmung von CEOs und Unternehmen mittlerweile als eine der Hauptbedrohungen für die globale Marktwirtschaft. Versicherer liefern einen wichtigen Beitrag zum Funktionieren unserer Marktwirtschaft für das Risikomanagement. Aufgrund dessen haben sich vor wenigen Jahren auch die ersten Cyber Versicherungen in Deutschland und Kontinentaleuropa herausgebildet. Der noch vergleichbar junge Bereich der Cyber-Versicherungssparte könnte bald einen ersten Präzedenzfall erleben, denn zwischen dem Lebensmittelkonzern Mondelēz und dem Versicherer Zurich ist es zu einem Rechtstreit gekommen. Bei diesem geht es um die Frage, wie bestimmte Klauseln eines Versicherungsvertrages in Bezug auf Cyber-Attacken ausgelegt werden. Im konkreten Fall geht es um eine Deckung von 100 Mio $ und einem entstandenen Schaden von etwa 180 Mio $. Als Experten im versicherungsfachlichen Umfeld und mit vertieften Kenntnissen im Bereich Cyberrisk-Rating, möchten wir von PPI dieses Thema und seine Auswirkungen auf den Cyber Versicherungsmarkt nicht aus juristischer, aber aus fachlicher sowie technischer Sicht kurz und präzise beleuchten.

Was ist vorgefallen

Der Lebensmittelkonzern Mondelēz wurde Opfer der Windows-Malware NotPetya und erlitt Schäden von etwa 180 Mio $. Unter anderem waren diese Schäden gezeichnet, durch die Verschlüsselung und Beschädigung von unzähligen Laptops, den Folgekosten durch Produktionsausfall und den Kosten für die Fehleranalyse und Wiederherstellung. Gegen diese Risiken hatte sich das Unternehmen im Vorfeld mit einer Cyber-Police geschützt. Die Deckungssumme dieser Police betrug 100 Mio $ und sollte Schäden in folgenden Bereichen abdecken: physischer Datenverlust, Beschädigung elektronischer Daten oder Software, Schäden durch böswillig eingebrachten Schadcode oder Anweisungen[1] ab. Somit wäre zumindest ein Großteil der Schäden abgesichert gewesen. Der Versicherer Zurich hatte anfänglich einer Schadenregulierung zugestimmt, im späteren Verlauf die Regulierung allerdings gestoppt. Der Versicherer berief sich auf neue Erkenntnisse im Schadenprozess, welche sich direkt auf die Versicherungsbedingungen auswirkten. Denn sowohl in den USA, als auch in anderen Ländern, wurden kritische Stimmen laut, dass es sich bei der Schadsoftware um das Werk von Hackern mit russischem Ursprung handeln könnte. Diese sollen im staatlichen Auftrag gehandelt haben oder für eine regierungsnahe Organisation tätig gewesen sein. Tatsächlich werden in den Versicherungsbedingungen vieler Versicherer Kriegshandlungen oder kriegsähnliche Handlungen ausgeschlossen. Diese Ableitung hat die Zurich hier aufgrund der Russland-Thematik getroffen.

„NotPetya - Wer soll der Schuldige sein“:

Wer ist der Schuldige? Die Vermutungen, Verdachtsmomente und Spekulationen lesen sich wie ein guter Mix aus Kriminalbericht, Agentenroman und SciFi-Drehbuch. Die aufgezeigten Wege führen demnach nach Russland und die Ähnlichkeit zum Cyberangriff „Petya“ könnte eine Tarnung zur Spurenverwischung gewesen sein. Anders als bei Petya ist es in diesem Fall nicht möglichgewesen, die verschlüsselten Geräte gegen Zahlung von „Lösegeld“ wieder zu aktivieren. Dieser Umstand hat sich besonders kritisch auf betroffene Systeme in digitalisierten Produktionsstrecken ausgewirkt.

Technische Sicht - Wie sich der Wurm verbreitet hat:

Die EternalBlue Schwachstelle im Windows SMB-Dienst war das Ziel von NotPetya. Server Message Block (SMB) ist ein Netzprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen und wird für den Dateiaustausch zwischen Windows Systemen mit Unix Systemen verwendet. Windows XP und Windows 2000 nutzen die Version 1 des Protokolls standardmäßig. Der standardmäßige SMB Port ist 445. Ab Windows Vista stehen auch neuere Versionen (SMBv2 und SMBv3) zur Verfügung, jedoch wird SMBv1 immer noch angeboten und musste oft händisch deaktiviert werden. Betroffen dieser Cyber-Attacke war vor allem der SMBv1-Dienst, der durch speziell entwickelte Pakete angegriffen wurde und dadurch eine Remote Code Execution, das Ausführen von beliebigem Programmcode, ermöglichte.[2] Durch regelmäßige Überwachung der im Internet sichtbaren IT-Infrastruktur eines Unternehmens hätte man unter Umständen mögliche Angriffsflächen, in Form von verwendeten Diensten und Protokollen, frühzeitig erkennen und Gegenmaßnahmen treffen können. Die Ransomware hatte kein bestimmtes Unternehmen zum Ziel, sondern befiel hunderttausende Computer und Dienste auf der ganzen Welt. Die Beschaffenheit von NotPetya legt nahe, dass es sich bei Mondelēz nicht um einen gezielten Angriff gehandelt hat.

Der Streitpunkt:

Die im US-Bundesstaat Illinois eingereichte Klage von Mondelēz könnte für viele andere Schäden dieser Art maßgeblich sein. Ob das Urteil Versicherern und Versicherten mehr Sicherheit darüber geben wird, welche Schäden abgedeckt werden, wird mit hohem Interesse verfolgt. Wie man zukünftig die Ausnutzung von Sicherheitslücken in unterschiedlichen Diensten durch Massenangriffe werten wird, ist ebenfalls spannend. Fest steht aber jetzt schon: Eine Versicherungspolice ist kein Garant für ein sicherheitsvorfallfreies Leben. Aus Sicht der Versicherungsindustrie könnte das Urteil auch den Anstoß für neue Risikokonzepte im Kontext „Cyber Warfare“ geben. Denkbar wäre die Bildung von Spezialversicherern analog zur EXTREMUS Versicherung AG, die sich besonders auf Schäden durch Terroranschläge spezialisiert hat(„Terror Pool“). Bereits im Jahr 2018 warnte das World Economics Forum davor, dass es durch die wachsende Vernetzung zu höheren Risiken durch Cyberangriffe führen könnte. Außerdem sahen die Top-Manager der Wirtschaftselite bereits damals, dass das Top-Risiko der nächsten Jahre Cyberattacken sein würden.[3] Durch die so neu geschaffenen Märkte für Spezialversicherer könnten dem Risiko angemessene Prämien angesetzt werden. Neben dem Aspekt der Versicherbarkeit verdeutlicht der Fall aber auch die dringende und konsequente Auseinandersetzung mit Cyber Security in jedem Unternehmen. Die Relevanz von Patch Management und sonstigen präventiven Maßnahmen, welche zur Vermeidung solcher hohen Schadensummen beitragen können, rückt unweigerlich in den Fokus. Präventiv sinnvoll sind hier regelmäßige Audits oder Reports, die Auskunft über die aktuelle Aufstellung eines Unternehmens im Internet geben. Der o. g. technische Verbreitungsweg über SMB Port 445 ist auch für passive Aufklärungstools und Schwachstellenanalysen identifizierbar. Solche Verfahren sollten im Versicherungsmarkt und auf Kundenseite noch stärker zum Einsatz kommen. Der beste Schaden ist immer der, den man vermeiden kann.

Fazit

Egal wie das Urteil ausfallen wird, es ist für alle Beteiligten ein wesentlicher Erfahrungswert, aus dem wichtige Ableitungen getroffen werden können. Das Urteil wird für mehr Klarheit sorgen und aus unserer Sicht keinen negativen Einfluss auf das Wachstum im Cyberversicherungs-Markt haben. Im Gegenteil, es könnte sogar für weiteres Wachstum, neue Produkte und Dienstleistungen, höhere Risikoawareness und die intensive Auseinandersetzung mit solchen Risiken sorgen. Kunden, die weder das Know-How noch die Kapazitäten für ein eigenverantwortliches IT-Security-Management haben, könnten zum Beispiel proaktiv auf ihren Versicherungspartner zugehen und unterstützende Dienstleistungen in Anspruch nehmen. Damit dies in Zukunft noch besser funktioniert, sollte dieser Bereich auch auf Seiten der Versicherer weiter ausgebaut und aktiver im Markt angeboten werden. Bei einer guten partnerschaftlichen Verbindung kommt es vielleicht gar nicht erst zu Unklarheiten und nachgelagerten Streitigkeiten, wie im Fall Mondelēz.

Beste Grüße!
Mario

[1] https://www.databreachninja.com/my-least-favorite-exclusion-challenged-by-milks-favorite-cookie/

[2] https://www.sichere-industrie.de/ransomware-notpetya-was-passierte-wer-vermutlich-dahinter-steckt-warum-eine-versicherung-den-schaden-nicht-bezahlt-und-wie-sie-sich-davor-schuetzen-koennen/


[3] https://www.handelsblatt.com/politik/international/global-risk-report-2018-alarmstufe-rot/20856178.html?ticket=ST-113088-ITf9gqFr7Rfs7ulb79to-ap6

Passwort-Hygiene Fehlanzeige (Teil 2) – Wenn ein Kühlschrank den gesamten Unternehmensbetrieb einfriert! #CYBERCRIME #IOT #CYBERVERSICHERUNG

Was hat ein Kühlschrank mit einer übergreifenden Betriebsunterbrechung zu tun oder gar mit Passwort-Hygiene? Natürlich (aber nicht ausgeschlossen) geht es hier nicht um den heimischen Kühlschrank in dem vorrangig Lebensmittel untergebracht werden …

Supermärkte, Krankenhäuser, Labore und andere Einrichtungen nutzen Kühlschränke. Aus den unterschiedlichsten Motivationen werden hier allerlei Dinge aufbewahrt. Diese sind immer häufiger direkt mit dem Internet (Stichwort IoT) verbunden. Sei es, um bei Ressourcenknappheit automatisiert eine Nachbestellung auszulösen, Qualität zu sichern oder um Prozesse zu optimieren.

Diese Entwicklung wirkt sich natürlich auch auf Fragen rund um das Thema IT-Sicherheit aus. Bei automatisierten Bestellabläufen oder vernetzten Gerätesteuerungsanlagen besteht großes Schadenpotenzial, wenn diese einem Cyber-Angriff zum Opfer fallen.

Heutzutage werden immer mehr Geräte mit dem Internet verbunden und manchmal ist das den Betreibern gar nicht bewusst. Solche Geräte existieren in den unterschiedlichsten Bereichen. Von der WLAN-fähigen Glühbirne, über Maschinen, bis zur Steuerung von ganzen Produktionsanlagen kann heute alles ans Internet angebunden werden. Daher muss immer bedacht werden, welche Angriffsmöglichkeiten hier unter Umständen geschaffen werden.

Szenario 1 – Der Fall „Mayonaise“
Wenn dort Lebensmittel gelagert werden und ein Ausfall rechtzeitig bemerkt wird, ist dies meist nicht kritisch, da Lebensmittel einfach entsorgt und neu beschafft werden können.

Doch bei der Produktion von Lebensmitteln wie Beispielsweise Mayonnaise darf die Kühlkette unter keinen Umständen für längere Zeit unterbrochen sein. Ansonsten besteht eine erhöhte Salmonellengefahr. Angefangen von Rückrufaktionen bis hin zu Schadenersatzansprüchen von betroffenen Konsumenten, ist als Folge vieles vorstellbar. Für eine große Lebensmittelkette könnte ein plötzlicher Ausfall der Kühlgeräte also zu sehr hohen Kosten und vielleicht sogar dem Ruin führen. Spannend ist auch die Frage, inwieweit diese Schadenszenarien durch entsprechende Cyber-Policen abgedeckt werden (können).

Szenario 2 – Durch „Kühlschrank-Hack“ rein ins Unternehmensnetz

Es ist fahrlässig genug, IoT Geräte jedermann zugänglich zu machen. Viel schlimmer kann es aber werden, wenn diese netzabhängigen und verbundenen Geräte die gängigen Sicherheitsmechanismen wie VPN Zugänge oder Firewallsysteme komplett umgehen. Wenn dazu schlechte organisatorische Sicherheitsmaßnahmen wie z. B. fehlende Netztrennung kommen, ist es für Hacker sogar möglich, ins Unternehmensnetz einzudringen und weiteren Schaden anzurichten.

Als konkretes Beispiel ist hier der Hersteller Ressource Data Management (RDM) zu nennen[1]. Durch ein einfach zu erratendes Standardpasswort, „1234“, ist es Hackern möglich gewesen, Zugriff auf weltweit verteilte Kühlschränke zu erhalten, sie fernzusteuern und sogar auszuschalten.

Dieses Beispiel ist nur eines von vielen. Im Darknet werden immer wieder Hacks veröffentlicht, bei denen vielfach Zugänge zu schlecht oder komplett ungeschützten IoT[2]-Geräten veröffentlich werden. Für versierte Hacker ist es möglich, weite Bereiche des öffentlichen Internets nach ungeschützten Komponenten und Services zu suchen.

Welche Absicherungsmöglichkeiten gibt es?

Wie in vorherigen Beiträgen erwähnt, ist es sehr wichtig, eingesetzte IoT-Geräte ausreichend zu schützen. Zum einen sollten diese Geräte nicht für jedermann öffentlich einsehbar sein und des Weiteren sollte das Passwort schon etwas konstruktiver gewählt werden als „1234“. Zusätzlich gibt es diverse weitere Maßnahmen um sich vor solchen Angriffen zu schützen. Netztrennung und ein entsprechend gutes Firewallsystem sind nur einige der Möglichkeiten. Auf eine gute Schulung der Mitarbeiter sollte ebenfalls geachtet werden. Vielleicht werden zukünftig dann weniger IoT-Geräte für jedermann im Internet zugänglich gemacht.

Doch einen guten Anfang und dementsprechend einer ersten Prävention, realisiert man mit der regelmäßigen Aktualisierung der Passwörter.

Beste Grüße
Mario

[1] https://www.golem.de/news/resource-data-management-kuehlschraenke-lassen-sich-mit-passwort-1234-abschalten-1902-139300.html


[2] IoT (Internet of Things)

Passwort-Hygiene Fehlanzeige – sind Sie das nächste Leak-Opfer? #passwortsicherheit #cybercrime #darknet

In unserem letzten Beitrag haben wir über ein Datenleck bei der Starwood-Hotelkette berichtet. Hier wurden Daten absichtlich entwendet, um daraus Profit zu schlagen. Mit Hilfe von Kreditkartendaten lässt sich so einiges anstellen. Die Betroffenen hatten hier kaum eine Möglichkeit, ihre persönlichen Daten zu schützen.

Dieses Mal möchten wir auf die Gefahr aufmerksam machen, welche von unsicheren Passwörtern ausgeht. Die aktuellen Datenleaks zeigen deutlich, dass viele Benutzer keinen Wert auf sicherere Passwörter legen. Hier eine kleine Rangfolge der am häufigsten verwendeten Passwörter aus der aktuellen Leak-Quelle:

Platz 1: „123456“

Platz 2: „12345“

Platz 3: „123456789“

Platz 4: „fic*en“

Dicht gefolgt von „hallo“ und „passwort“.

Dass die beliebtesten Anbieter im Freemailbereich solche Passwörter akzeptieren und diese dem Nutzer sogar als sicher suggerieren, macht es nicht besser.

Durch solche unsicheren Passwörter für E-Mail-Konten können Hacker weitere Zugänge zu anderen Plattformen erhalten. Das Vorgehen der Hacker ist denkbar einfach. Durch die E-Mail-Adressen in Leak-Collections (Veröffentlichung von E-Mail-Listen im DarkNet) wird das erste Angriffsziel ausgemacht. Anschließend werden die gängigsten Passwörter mithilfe entsprechender Tools durchprobiert. Dabei können je nach Rechenleistung mehrere zehntausend Passwörter oder mehr pro Sekunde mithilfe von dictionary attacks oder brut force attacks ausprobiert werden.

Um die Gefahr zu verdeutlichen, sind einige Rechenbeispiele beigefügt worden. Die Rechenleistung pro Sekunde ist ein fiktiver Wert (hier 2 Milliarden pro Sekunde). Dieser kann durch Cloudanbieter wie Amazon aber deutlich höher liegen.

Passwort
besteht aus
Mögliche Kombinationen
Benötigte Zeit
zum Entschlüsseln
5 Zeichen
(3 Kleinbuchstaben,
2 Zahlen)
365 = 60.466.176 60.466.176 /
2.000.000.000 =
0,03 Sekunden
7 Zeichen
(1 Großbuchstabe,
6 Kleinbuchstaben)
527 = 1.028.071.702.528 1.028.071.702.528 /
2.000.000.000 =
514 Sekunden =
ca. 9 Minuten
12 Zeichen
(3 Großbuchstaben,
4 Kleinbuchstaben,
3 Sonderzeichen,
2 Zahlen)
9412 = 475.920.314.814.253.376.475.136 475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Sekunden =
ca. 7,5 Millionen Jahre


Man kann sich also vorstellen, wie ein Hacker bei einfachen Passwörtern sehr schnell Zugriff auf einen Account erhalten kann. Anschließend wird durch Recherche (z. B. Social Media Accounts oder direkt im Mail-Postfach) herausgefunden, wo die nun zugänglichen E-Mail Adressen noch verwendet werden. Durch die Aktion „Passwortzurücksetzen“ der so herausgefundenen Dienste bekommt der Hacker Zugangsdaten für weitere Plattformen und Dienste.

Im Internet kursieren riesige Datenmengen mit E-Mail-Adressen und Passwörtern von ahnungslosen Nutzern. Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwned (HIBP)“, hat eine umfangreiche Sammlung mit knapp 773 Millionen unterschiedlichen E-Mail-Adressen und 21 Millionen unterschiedlichen Passwörtern. Aus Datenschutzgründen bietet die Website nur die Möglichkeit zu prüfen, ob man betroffen ist. Es ist jedoch nicht möglich zu sagen, auf welchen konkreten Hack sich ein Treffer bezieht, nur dass es einen gibt.

Ob man selbst betroffen ist, lässt sich über den folgenden Link schnell herausfinden:

https://haveibeenpwned.com/

Um die eigene Sicherheit im Internet zu erhöhen, wird dringend empfohlen, sichere Passwörter zu verwenden und wann immer möglich die Zwei-Faktor-Authentifizierung zu nutzen. Natürlich sollten Anbieter von beliebten Diensten auch geeignete Sicherheitsmaßnahmen zur Verfügung stellen. Die Bemerkungen einiger Nutzer im Internet „Ein Dienst muss mein Passwort akzeptieren, egal wie schlecht es ist“ sollten aus Security-Sicht nicht gelten! Falls sich Anwender keine komplexen Passwörter merken wollen oder können, gibt es die Möglichkeit, einen Passwortmanager zu nutzen. Hier gibt es verschiedene Offline-Varianten. Wenn man diese dann zusätzlich auf einem separaten Gerät, z. B. einem USB-Stick, verwendet, ist man schon um einiges sicherer unterwegs.

Das Restrisiko lässt sich über entsprechende Cyber-Policen abdecken. Zukünftig wird das Angebot in diesem Bereich auch im privaten Sektor weiter wachsen, um den unterschiedlichen Bedrohungslagen gerecht werden zu können.

Viele Grüße!
Mario Lünser


Datenklau in fremden Bett! #Marriott #Starwood #cybercrime

Bei der Angabe von Daten im Internet sind die meisten Menschen mittlerweile schon vorsichtiger geworden. Bevor persönliche Informationen oder gar Kreditkartendaten herausgegeben werden, muss es schon ein gewisses Vertrauensverhältnis zum Empfänger der Daten geben. Kunden vertrauen darauf, dass die Unternehmen ihre preisgegebenen Daten bestmöglich schützen. Das Daten aber auch auf indirektem Wege in Datenbanken von Unternehmen landen können und auch dort gehackt werden können, das haben weniger Kunden im Blick. Das Vertrauen gegenüber einer realen Person, die diese Daten für einen eingibt, ist erheblich größer.

Ein Fall, in dem dieses Vertrauen nicht gerechtfertigt war geht derzeit durch die Presse. Hinter dem etwas technischen Namen „Starwood Guest Reservation Database Security Incident“ versteckt sich ein Kundendatenklau von riesigem Ausmaß. Die Starwood Hotelkette, eine Tochter der Marriott Hotels musste im letzten Monat eingestehen, dass Daten von bis zu 500 Millionen Kunden durch Dritten eingesehen werden konnten. Neben den Reservierungsdaten gehören insbesondere auch Kreditkartendaten und Informationen zu Ausweisdokumenten zu den entwendeten Daten. Das betroffene Unternehmen kann noch nicht mit Sicherheit sagen, ob dabei die für die Entschlüsselung notwendigen Schlüssel, ebenfalls entwendet wurden. Dies wäre besonders schlimm, da durch diese Schlüssel die Kundendaten im Klartext lesbar wären.

Was hinter dem Datenklau steckt ist noch nicht final geklärt, mögliche Spuren nach China werden in den Nachrichten derzeit diskutiert. Was Kriminelle mit einer Datenbank dieser Größe jedoch alles anstellen könnten lässt sich kaum ausmalen: wenn man mal überlegt, wie viele Daten bei einer Hotelreservierung angegeben werden müssen wird schnell klar, das für ein komplettes Bild über einen Gast kaum noch etwas fehlt, ein Identitätsdiebstahl lässt sich nur noch schwer verhindern. Kommt dann auch noch Leichtsinn, wie etwa das Verwenden von gleichen Passwörtern auf mehreren Plattformen hinzu, dann sind den Kriminellen kaum noch Grenzen gesetzt.

Die Analysen unserer Experten zeigen, dass auf den einschlägigen Darknet-Plattformen noch keine der Daten verfügbar sind. Gerade bei Bekanntwerden eines solchen Hacks würden sich hier in den Communities Hacker dazu bekennen, um Ansehen in der Community zu erwerben. Auszüge aus den erbeuteten Daten sind dabei ein gängiges Mittel für den Beweis eines vollzogenen Hacks. Manche Hacker gehen gar so weit, komplette Datensätze online zu stellen. Frei verfügbar oder zum Verkauf – alles ist hier möglich. Prominent sind etwa die Daten aus einem älteren Vorfall bei LinkedIn, bei dem E-Mailadressen und Passwort Kombinationen erbeutet wurden. Bei einer nicht unerheblichen Anzahl von Benutzern bedeutet dies, dass auch die E-Mail-Konten selber offen sind, da das gleiche Passwort verwendet wurde.

Dies kann nicht nur eine Gefahr für die Privatperson an sich darstellen, sondern auch gegebenenfalls für das Unternehmen, indem die Person arbeitet. Gerade Bei Hotelreservierungen wird oft die berufliche E-Mail-Adresse oder Kreditkarte verwendet, woraus sich wiederum eine potentielle Angriffsoberfläche auf das Unternehmen selbst ergibt.

Hier empfiehlt sich sowohl als Unternehmen für eine entsprechende Mitarbeiterawereness zu sorgen, dass Passwörter regelmäßig geändert werden, als auch selbige Ableitung für die Privatperson. Durch eine mögliche Verwendung von Unternehmenskreditkarten kann auch dem Unternehmen ein finanzieller Schaden entstehen. Denn ob wir wollen oder nicht. Unabhängig von Unternehmen oder Privatperson, wir alle können durch solche Datenleaks zu einem für Angreifer potentiell lohnenswerten Ziel werden.

Viele Grüße
Felix

Schützt die Burgen – Neue Gefahr aus dem DarkNet (Teil 6) #darknet #hacks

Lange Zeit war es still um die Burg...

Die in unseren vorherigen Beiträgen beschriebenen Gefahren konnten von den Wächtern der Burg erfolgreich abgewandt werden. In dieser Zeit hat sich die Burg weiterentwickelt und ist gewachsen. Dies hat zur Folge, dass immer mehr „Bewohner“ in der Burg ein und ausgehen, was die Wachen vor eine organisatorische Herausforderung gestellt hat.

In unserer Welt der Burgen hat sich ein System durchgesetzt. Zur Identifikation bei der Burg oder den umliegenden Händlern kann jede Person ein individuelles Erkennungs-Symbol (E-Mail-Adresse) mit zugehörigem Passwort wählen. Die Symbole sind unterschiedlich je nach Adressat (Burg, Händler, etc.)

Das System hat die Effizienz bei der Identifizierung stark erhöht. Die Wachen können die Symbole mit den hinterlegten Passwörtern anhand einer Liste abgleichen und so den Überblick darüber behalten, dass auch nur berechtigte Personen Zutritt in die Burg erlangen. Zusätzlich wird in unserer Burg eine Richtlinie eingeführt, dass nach Ablauf von drei Monaten das Passwort geändert werden muss.

Nun sind die Bewohner der Burg aber eher gemütlich und möchten sich nicht für jeden Händler und den Zutritt zur Burg verschiedene Symbole und Passwörter ausdenken/merken. Daher verwendet eine Vielzahl an Personen dieselbe Kombination aus Symbol und Passwort bei Burg, Schenke oder Händler.

So weit, so gut könnte man jetzt meinen, ist ja kein Problem, solange die Personen gut auf ihr Passwort aufpassen.

Doch jetzt ist es passiert! Einer der kleineren Händler wurde, aufgrund einer nicht verschlossenen Tür, ausgeraubt und bei dem Raubzug wurde seine Liste mit Symbolen und Passwörtern entwendet. Der Dieb (Hacker) fährt nun in einen Wald (DarkNet) und prahlt dort vor anderen Dieben mit seinem Diebesgut. Er bietet den anderen Dieben die Listen zum Kauf an.

Der kleine Händler hat inzwischen veranlasst, dass die Symbole und Passwörter bei ihm ausgetauscht werden, sodass sich seine Kunden wieder sicher bei ihm identifizieren können.

Die Diebe vermuten aber, dass eine Vielzahl der betroffenen Personen die Kombination Symbol+Passwort auch für den Zugang zur Burg verwenden und versuchen nun dort Eintritt zu erlangen. Und tatsächlich gelingt es den Dieben sich so Zutritt zur Burg zu verschaffen!

Diese Gefahr besteht nicht nur in der Welt der Burgen, sondern auch in der realen Welt. Heutzutage melden wir uns bei den verschiedensten Diensten im Internet mit unseren E-Mail-Adressen und dazugehörigen Passwörtern an. Sollte einer der Dienste gehackt werden und dort als Diebesgut eine Liste mit E-Mail-Adressen und Passwörtern entwendet werden, ist die Gefahr groß, dass wenn man diese Kombination auch bei anderen Diensten verwendet, sich der Hacker nun mit meiner Identität in die jeweiligen Dienste einloggt.

Für Unternehmen wird es besonders dann gefährlich, wenn Mitarbeiter sich mit Ihrer beruflichen E-Mail-Adresse bei privaten Diensten anmelden und im worst-case auch noch dieselben Passwörter verwenden.

So kann aus einem Hack eines privaten Dienstes urplötzlich eine Gefahr für das Unternehmen entstehen.

Beste Grüße und bis bald
Jonas Schwade


https://ppiag-digitalisierung-versicherungen.blogspot.com/p/blog-page.html