Expertenkommentar zum aktuellen Cyberangriff auf 1blu
Heute gab 1blu, eines der größten Webhosting-Unternehmen in Deutschland, bekannt, dass es Opfer einer umfassenden Datenentwendung und eines damit zusammenhängenden Erpressungsversuchs wurde. Dr. Christian Polster, Chief Strategy Officer von RadarServices, Europas führendem Anbieter für kontinuierliche und vorausschauende IT-Sicherheitsüberprüfung und IT-Risikoerkennung als Managed Service, kommentiert den Angriff.
Was passiert ist
Die Angreifer verschafften sich Zugang zu vertraulichen Daten, darunter massenhafte Kundendaten inklusive Zugangsdaten für den Kundenlogin, für E-Mail-Konten, FTP, MySQL, 1blu-Drive sowie persönliche Daten. Sie verlangen die Zahlung einer hohen Geldsumme, anderenfalls drohen sie mit einer Veröffentlichung der erbeuteten Daten.
Laut Information von 1blu erfolgte der Zugriff auf das interne 1blu-System über eine fehlerhafte Serverkonfiguration, die dem Angreifer ein sukzessives Ausspähen der mehrstufigen Systemarchitektur ermöglichte. Zwar werden die Daten zum Großteil verschlüsselt gespeichert, die Verschlüsselung konnte jedoch offensichtlich vom Hacker entschlüsselt werden. Erleichtert wurde der Zugriff dadurch, dass die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern nicht eingehalten wurden.
Aus Sicht der Kunden von 1blu ist die Entwendung ihrer Passwort-Daten besonders dramatisch. Vor allem Privatpersonen verwenden oftmals gleiche Passwörter für verschiedene Zugänge, zum Beispiel für Emailkonten, Onlinehändler, Onlinebanking oder ihre PCs im Beruf. Für Angreifer ist es ein leichtes, die erbeuteten Daten automatisiert auf verschiedensten Portalen nach dem Prinzip „trial and error“ auszuprobieren und so die Identität ihrer Opfer anzunehmen.
Die Entschlüsselung von Daten im Mittelpunkt
„Die von 1blu beschriebene Entschlüsselung von Daten kann zwei Ursachen haben: ein mit Schwachstellen behaftetes Verschlüsselungsverfahren oder viel Zeit, die der Angreifer im Unternehmensnetzwerk verbrachte, bevor er entdeckt wurde“, so Christian Polster.
Ursache 1: Verschlüsselungsverfahren mit Schwachstellen
Vergleichbar wäre dieser Fall mit dem Diebstahl von 130 Millionen Kunden bei Adobe in 2013. Adobe nutzte das Verfahren des Verschlüsselns, nicht des „Hashings“ (=die Verwendung von Algorithmen bei der Verschlüsselung). So verschlüsselte Adobe damals alle Passwörter mit Triple DES (3DES). Hierbei ist es möglich, dass ein Angreifer die Schlüssel errät. Sind alle Passwörter mit dem gleichen Schlüssel verschlüsselt, werden sie leichter sichtbar. Eine wesentliche Erleichterung beim Erraten der Schlüssel geben Kunden dem Angreifer unbewusst, in dem sie gleiche Passwortabfolgen verwenden (zum Beispiel 123456 oder namederwebseite123).
Ursache 2: Der Angreifer ist lange unbemerkt im Unternehmensnetzwerk
Millionenfacher Datendiebstahl geschieht nicht über Nacht. Angreifer halten sich monatelang im Netzwerk auf. Sie suchen Wege, um an die oftmals durch mehrere Sicherheitsmechanismen geschützten Daten heranzukommen. Haben sie diese Daten gefunden, entwenden sie sie möglichst unauffällig, das heißt sukzessive in kleinen Mengen über einen langen Zeitraum. Die Sicherheitsmechanismen – vom Virenschutz über die Firewall bis zur Netzwerküberwachungssoftware – schlagen so keinen Alarm. Sie decken alle ihre jeweiligen, ganz speziellen Einsatzgebiete ab und arbeiten nebeneinander, nicht zusammen und nicht als selbstlernende Systeme. Sie werden von professionellen Angreifern schlichtweg überlistet.
Wie sich Unternehmen vor derartigen Angriffen konkret schützen können
Unternehmen müssen ihren Fokus auf das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf Ihre IT statt auf die Abwehr „fiktiver“ Gefahren richten. Diese Herangehensweise ist die einzige Möglichkeit, den Schaden für Kunden und das eigene Unternehmen im Angriffsfall zu begrenzen“, so Polster.
Die kontinuierliche Gesamtüberprüfung der IT-Infrastruktur liefert alle notwendigen Informationen. Sie umfasst drei Komponenten: eine kontinuierliche Schwachstellenanalysen von innen und außen, eine laufende Analyse und Korrelation von Logs der einzelnen Systeme und eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg.
Die kontinuierliche Schwachstellenanalyse
Jeden Tag entstehen neue Angriffsarten und damit neue Sicherheitslücken oder Schwachstellen in der IT eines Unternehmens. Das kontinuierliche Aufspüren dieser Probleme aus einer internen Sicht (innerhalb des Unternehmensnetzwerkes) und aus einer externen (aus dem Internet) ist Voraussetzung, um zum Beispiel um ein fehlendes Hashing und damit eine unsichere Verschlüsselung aufzudecken.
Die Log-Datenanalyse und Korrelation
Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus den Intrusion Detection Systemen korreliert werden.
Die Überwachung der Einfallstore für Schadsoftware und der Kommunikationskanäle
Ein Angreifer muss früher oder später die Daten aus dem Unternehmen zu externen Zielen im Internet übertragen. Dies fällt bei einem umfangreichen Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und von Experten analysiert werden. Dies erfordert den Einsatz von Intrusion Detection Systemen (IDS) und anderen Werkzeugen sowie die Unterstützung durch Experten, die diese richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren.
Das komplette Set dieser hochspezialisierten Analysen wird ressourcenschonend von Managed Security Services Anbietern erbracht. Die Besonderheit der Dienstleistungen von RadarServices liegt darin, dass Daten dabei nie das Kundenunternehmen verlassen, womit die Vertraulichkeit und Sicherheit jederzeit gewährleistet ist.
„Ein Angriff, wie er heute auf 1blu bekannt wurde, kann nur aufgrund eines lückenhaften IT-Sicherheitsmonitoring erfolgreich sein. Aus unserer Sicht sind die technischen als auch die organisatorischen Werkzeuge bekannt, die den Schaden drastisch begrenzen hätten sollen“, so Polster abschließend.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
RadarServices ist Europas führender Anbieter für kontinuierliche und vorausschauende IT-Sicherheitsüberprüfung und IT-Risikoerkennung als Managed Services. Die Services kombinieren die automatisierte Erkennung von IT-Sicherheitsproblemen und -Risiken mit der Analyse und Bewertung durch Experten. Daten verlassen dabei niemals das Kundenunternehmen. Für die Einrichtung, Konfiguration und den täglichen Betrieb sind keine zusätzlichen personellen oder finanziellen Ressourcen notwendig.
RadarServices hat seinen Hauptsitz in Österreich und Repräsentanzen in Deutschland, Polen, Russland und den Vereinigten Arabischen Emiraten. Zu den Kunden zählen gelistete und nicht-gelistete Unternehmen unter anderem aus den Branchen Finanzdienstleistungen, Industrie, kritische Infrastrukturen und öffentliche Institutionen.
RadarServices
Hasnerstrasse 123
1160 Wien
T.: 0043 1 929 12710
news(at)radarservices.com
RadarServices
Hasnerstrasse 123
1160 Wien
T.: 0043 1 929 12710
news(at)radarservices.com
Datum: 14.08.2015 - 13:39 Uhr
Sprache: Deutsch
News-ID 1250208
Anzahl Zeichen: 7231
Kontakt-Informationen:
Ansprechpartner: Dr. Isabell Claus
Stadt:
Wien
Telefon: 0043192912710
Kategorie:
Datensicherheit
Meldungsart: Interview
Versandart: Veröffentlichung
Freigabedatum: 14.08.2015
Diese Pressemitteilung wurde bisher 1715 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Expertenkommentar zum aktuellen Cyberangriff auf 1blu"
steht unter der journalistisch-redaktionellen Verantwortung von
RadarServices IT Security (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Der Hintergrund: Cyberattacken nehmen immer größere Ausmaße an Wie jüngst bekannt wurde, markierte die Hacker-Attacke auf Yahoo, bei der mehr als eine Milliarde Kundenkonten gehackt wurden, die bislang größte Cyber-Attacke in der Geschichte. Aber auch deutsche Unternehmen bleiben von den kr
Expertenkommentar zu den aktuellen Cyberangriffen auf Krankenhäuser weltweit: Schaden durch Ransomware wäre vermeidbar ...
Im Feuer der Ransomware: Das Lukaskrankenhaus in Neuss/Düsseldorf, eines der Großkrankenhäuser in Deutschland. Ebenso: Das Klinikum Arnsberg sowie vier weitere Krankenhäuser in Nordrhein-Westfalen. International setzt sich die Liste der aktuell betroffenen Krankenhäuser fort. So ist auch das Ho
Carbanak: „Angriffe sind nicht zu verhindern, aber eine drastische Schadensminimierung ist möglich“ ...
Wien, 15. Februar 2015. Der Großangriff auf Banken weltweit zeigt deren Verwundbarkeit trotz weitreichenden IT-Sicherheitsvorkehrungen. „Ein Angreifer muss nur ein einziges Einfallstor im Netzwerk finden, um sehr viel Schaden anzurichten. Banken versuchen mit großem Aufwand, alle Einfallstore
Weitere Mitteilungen von RadarServices IT Security
Netzpolitik.org und Netzfreiheit: „How China are you?“-Video von PROTONET thematisiert digitale Misere ...
Hamburg, 05.08.2015 – Mit einem ebenso provokanten wie preisgekrönten Video will das Hamburger Startup PROTONET für eine transparente digitale Zukunft werben. Die Überwachung der Blogger von netzpolitik.org ist nur das vorläufige Ende einer langen Serie, die unsere digitale Misere widerspiegel
Imperva stellt neuen Hacker Intelligence Initiative Report vor ...
LAS VEGAS, Nevada – 5. August 2015 – Imperva Inc. (NYSE: IMPV), Anbieter von Cybersicherheitslösungen, hat heute seinen Hacker Intelligence Initiative Report, kurz HII Report für August auf Black Hat USA 2015 vorgestellt. Der Report zeigt auf, wie der neue Angriffstyp – „Man in the Cloudâ€
Sloth-Attacken: EfficientIP warnt vor neuer, schleichende Alternative zu DDoS-Angriffen ...
Eschborn, 29. Juli 2015 – Cyber-Angriffe auf Unternehmen und sogar Regierungen sind mit Anbruch des 21. Jahrhunderts regelmäßig in den Medien vertreten. Mit den ständig neuen Formen von Hacker-Angriffen Schritt zu halten, ist dabei eine der größten Herausforderungen für Security-Experten. Ef
HCM EXPERTS GMBH nutzt mit IncaMail ein perfektes Zusatzmodul für SAP HCM zur Optimierung betrieblicher Abläufe in der Personalwirtschaft ...
Auf Basis der langjährigen Erfahrung und des ständigen Kontakts mit den Anwendern hat sich HCM EXPERTS entschlossen, mit der Schweizerischen Post zu kooperieren und deren sicheren elektronischen Versanddienst in die SAP HCM-Lösung zu integrieren. Als ausgewiesene SAP HCM-Experten wissen die Bera




