Passkey-Unterstützung für mobile Geräte

Der Anbieter von Zero-Trust- und Zero-Knowledge-Lösungen zum Schutz von Anmeldedaten Keeper Security kündigt die Unterstützung von Passkey-Management für mobile Geräte mit iOS und Android an. Somit gibt es plattformübergreifende Funktionalität sowohl für Passkeys als auch für herkömmliche Passwörter. Besonders KMUs bekommen damit Zugriff auf eine professionelle Lösung. Mit Keeper werden Passkeys im Keeper Vault erstellt, gespeichert und verwaltet und können für die einfache Anmeldung bei Websites und Anwendungen in allen Browsern und Betriebssystemen verwendet werden. Solange der Anwender Zugang zu seinem Keeper Vault hat, kann er auf seine Passkeys zugreifen, egal ob auf dem Desktop oder seinem mobilen Gerät. Kryptografische Schlüssel - Passkeys Ein Passkey ist ein kryptografischer Schlüssel, mit dem sich Nutzer bei Konten und Apps anmelden können, ohne ein Passwort eingeben zu müssen - ähnlich wie bei einer digitalen Version einer Schlüsselkarte, die auf einem Telefon, Tablet oder Computer gespeichert ist. Der Passkey nutzt biometrische Daten auf dem Gerät, wie beispielsweise den Fingerabdruck oder die Gesichtserkennung. Dies ermöglicht es, sich bei unterstützten Apps und Konten auf die gleiche Weise anzumelden wie ein Nutzer, der sein Telefon oder Tablet mit seinem Fingerabdruck oder mit Gesichtserkennung entsperrt. Bereits im Juni 2023 kündigte Keeper die Unterstützung für Passkeys in seinen Browsererweiterungen für Chrome, Firefox, Edge, Brave und Safari an. Die Unterstützung für iOS und Android ist für die kommenden Wochen geplant. Keeper speichert und füllt den Passkey automatisch aus, ähnlich wie bei einer passwortbasierten Anmeldung. Der Keeper Vault ermöglicht die Verwaltung der Passkeys, einschließlich der Möglichkeit einer gemeinsamen Nutzung durch Teams in Unternehmen. Passkeys - sicher, aber einfach Passkeys sind einfacher zu verwenden als viele traditionelle Authentifizierungsmethoden. Sie sind zudem resistent gegen Phishing, so dass sich die Benutzer nahtlos und sicher bei unterstützten Websites anmelden können. Die passwortlose Technologie, die erstmals 2022 vorgestellt wurde, basiert auf Industriestandards des World Wide Web Consortium (W3C) und der FIDO Alliance und wird von Apple, Google, Microsoft, Paypal, eBay und anderen unterstützt.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Forscher: Cisco-Appliance geknackt und Doom darauf installiert 

Der Sicherheitsforscher Aaron Thacker wollte eigentlich nur aus einer Cisco-Appliance einen Server basteln. Dabei entdeckte er eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller. Daraufhin installierte er Doom und spielte es zur Demo in der Verwaltungskonsole. Der Hack gelang dem Security Forscher Aaron Thacker zwar nur auf einer Cisco C195  Email Security Appliance, aber die Schwachstelle betrifft eine ganze Reihe von Cisco-Geräten. Thacker wollte nur aus der Appliance einen Server bauen und hat beim Umbau die Schwachstelle entdeckt. Er startete dann eine Angriffskette: - Er änderte das BIOS, um CIMC dem Netzwerk zugänglich zu machen. - Er griff danach das CIMC-Verwaltungssystem über das Netzwerk an um über eine Sicherheitslücke bei der Remote-Befehlsausführung (CVE-2024-20356) den Root-Zugriff auf eine kritische Komponente im System zu erhalten. - Und schließlich konnte die sichere Startkette kompromittiert werden, indem die Geräte-PID so geändert wurde, dass andere sichere Startschlüssel verwendet werden konnten. Schwachstelle ausgenutzt - Doom installiert und gespielt Der Forscher hatte Cisco natürlich vorab informiert und ein entsprechendes Veröffentlichungsdatum festgelegt. Cisco hat die Zeit genutzt und entsprechende Updates für die gesamte Produktlinie bereitgestellt. Auf einer Security-Anweisung listet Cisco alle Geräte einzeln auf, die von der Schwachstelle betroffen sind. Diese hat immerhin einen CVSS-Wert 8.7 von 10 und gilt somit als hochgefährlich. Cisco benennt die Sicherheitslücke "Sicherheitslücke bei Befehlseinschleusung in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller" Eine Sicherheitslücke in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) könnte einem authentifizierten Remote-Angreifer mit Administratorrechten ermöglichen , Befehlsinjektionsangriffe auf einem betroffenen System durchzuführen und seine Rechte auf Root-Rechte zu erhöhen . Diese Sicherheitslücke ist auf eine unzureichende Validierung der Benutzereingaben zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er manipulierte Befehle an die webbasierte Verwaltungsoberfläche der betroffenen Software sendet. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, seine Rechte auf Root zu erhöhen . Cisco stellt Updates bereit Cisco stellt für die Schwachstelle mit der CVE-Kennung CVE-2024-20356 auf seiner Webseite entsprechende Anweisungen und auch Updates bereit. Da die Schwachstelle als hochgefährlich gilt, empfiehlt Cisco ein sofortiges Update.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Bedrohungen durch Insider entgegenwirken

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot von Zero-Trust-Prinzipien auch noch der Mahnruf vor internen Insider-Bedrohungen hinzukommt, kann man sich als CISO fragen, wem man noch vertrauen soll. Insider-Threats sind ein reales Problem für Firmen aller Art und Größe. Ein aktuelles Beispiel ist der E-Autoproduzent Tesla: In der Gigafactory Berlin-Brandenburg gelangten im vergangenen Jahr über 100 Gigabyte an sensiblen Daten und Gehaltsinformationen von zehntausenden Beschäftigten in ganz Europa sowie Berichte über Fehlfunktionen und Probleme der Produkte an die Öffentlichkeit – im Verdacht standen zwei ehemalige Mitarbeiter Teslas. Zwar taten sie dies nicht, um sich an den Daten zu bereichern, sondern um auf Missstände und Sicherheitsprobleme innerhalb des Unternehmens hinzuweisen. Trotzdem handelt es sich beim Whistleblowing um eine Datenschutzverletzung, bei der die Informationen der Mitarbeiter auch für Identitätsraub oder Schlimmeres hätten missbraucht werden können. Datenlecks sind existenzbedrohend Derartige Fälle stehen immer in Zusammenhang mit bestehenden Sicherheitsvorkehrungen und können durch die engmaschige Verwaltung von Zugriffsrechten verhindert werden. Andernfalls reicht ein verprellter Angestellter mit einem Hauch krimineller Energie und der Bereitschaft, sensible Informationen oder seine Zugangsdaten an Cyber-Kriminelle zu veräußern, aus, um Firmengeheimnisse, Kundendaten und womöglich die Existenz des gesamten Unternehmens zu gefährden. Zu allem Übel gehört zu den Strategien der Drahtzieher auch das Anwerben von Komplizen im Darknet. Im Austausch für sensible Login-Daten bieten sie abtrünnigen oder leichtfertigen Angestellten hohe Geldsummen an. Der Gefahren nicht genug, können Datenlecks zudem unsagbar teuer werden. Es besteht nicht nur das Risiko einer Infiltration des Unternehmensnetzwerks und einem anschließenden Ransomware-Angriff samt horrender Lösegeldforderungen. Bei Datenschutzverletzungen schaltet sich obendrein auch der Gesetzgeber ein. Denn den Behörden ist es egal, ob ein Innentäter, ein unachtsamer Mitarbeiter oder ein sonstiges Datenleck für den Schaden verantwortlich ist: Wer Daten verliert, wird zur Kasse gebeten. Das kann Unternehmen gemäß der EU DS-GVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes kosten. Auch das Bundesamt für Verfassungsschutz warnt deshalb explizit vor der Bedrohung durch Innentäter. Nicht jede Insider-Bedrohung ist das Ergebnis vorsätzlicher, böswilliger Handlungen und nicht jeder Mitarbeiter, der einen Fehltritt begeht, ist direkt ein Täter. Oft sind es unbeabsichtigte Fehler oder Unkenntnis, die Zwischenfälle verursachen. Lösungen für dieses Problem erfordern dabei nicht nur technische, sondern auch zwischenmenschliche Ansätze. Role-based Access Control Ein Kernstück des Identitäts-Managements: Mitarbeiter erhalten beim Antrifft ihres neuen Jobs oder einer neuen Position automatisiert die Zugriffsrechte, die sie basierend auf ihrer Rolle und Tätigkeit im Unternehmen benötigen. So wird sichergestellt, dass alle Angestellten und Führungskräfte nur auf die Informationen und Systeme zugreifen können, die sie für ihre Arbeit benötigen. Indem man die Menge an Zugriffsrechten der Mitarbeiter rollenbasiert auf das Notwendige reduziert, wird im Falle eines unbefugten Zugriffs die Bewegungsfreiheit - der sogenannte Blast-Radius - des Angreifers wesentlich eingeschränkt. Das schränkt abtrünnige Mitarbeiter in jedem Szenario ein – egal, ob sie ihre Zugangsdaten innerhalb oder außerhalb des Unternehmens zu missbrauchen versuchen. KI-gestützte Lösungen können RBAC-Systeme obendrein mit intelligenter, kontextbasierter Zuweisung und Automatisierung in neue Höhen treiben und effizient verwalten. Privileged Access Management (PAM) Ähnlich der RBAC hilft PAM dabei, den Zugriff auf kritische Systeme und Daten zu kontrollieren. Durch die Vergabe, Verwaltung und Überwachung von privilegierten Berechtigungen wird sichergestellt, dass nur autorisierte Personen, wie CEOs, Entwickler und Netzwerkadministratoren, Zugriff auf hochsensible Informationen haben. Mit PAM und RBAC lässt sich außerdem umgehend feststellen, ob die Zugriffsrechte mehrerer Benutzer plötzlich erweitert wurden – beispielweise, weil ein Hacker mit einem gestohlenen Benutzerkonto auch seinen Komplizen Zugriff auf das Netzwerk der Zielorganisation verschaffen will. Joiner-Mover-Leaver-Systeme Dieses System steuert den Lebenszyklus von Mitarbeiteridentitäten im Unternehmen. Es gewährleistet, dass Zugriffsrechte bei Eintritt, Versetzung oder Ausscheiden eines Mitarbeiters entsprechend angepasst werden, um unnötige Sicherheitsrisiken zu vermeiden. Der Clou: Man schützt sich, wie auch bei RBAC und PAM, sowohl vor externen als auch vor internen Angriffen. Zum einen werden sogenannte Verwaiste Konten vermieden. Das sind Benutzerkonten, die eigentlich keinem Mitarbeiter mehr zugeordnet werden, aber durch das Raster fallen und immer noch mit Zugriffsrechten ausgestattet sind, manchmal hochrangigen. Solche sind unter Hackern beliebt, weil sie dann mit einem gut ausgestatteten, legitimen Benutzerkonto unter dem Radar der IT-Abwehr fliegen können. Lösungen für Identity Governance and Administration (IGA) automatisieren die daher wichtigen Anpassungen und liefern obendrein besagte RBAC- und PAM-Funktionen, die Compliance gewährleisten und IT-Teams entlasten. Zum anderen wird so der Fall vermieden, dass ein verärgerter Mitarbeiter nach Ausscheiden aus dem Unternehmen seine Zugangsdaten zum Schaden des alten Arbeitgebers missbrauchen oder diese sogar im Darknet lukrativ an organisierte Kriminelle verkaufen kann. Black- und Whitelisting von Software Durch das Festlegen von genehmigter (Whitelist) und unerwünschter (Blacklist) Software wird die Wahrscheinlichkeit verringert, dass Malware eingeschleust oder unerlaubte Anwendungen im Unternehmensnetzwerk verwendet werden. So wird sogenannter Schatten-IT und der unkontrollierten Erstellung von Nutzerkonten ein Riegel vorgeschoben. Dennoch sollten die Mitarbeiter dazu eingeladen werden, Vorschläge für die Beschaffung neuer Tools vorzubringen, um ihre tägliche Arbeit zu erleichtern. Wer die eigene Belegschaft zudem sensibilisiert, dass eigenmächtig heruntergeladene Software einen Schadcode enthalten könnte, der verhindert unbeabsichtigte Innentäterschaft. Schulungen und Workshops Um Gefahren im Keim zu ersticken, muss man sie kennen und erkennen können. Die Taktiken Cyber-Krimineller werden so schnell weiterentwickelt, dass man von keinem Angestellten verlangen kann, stets über die jüngsten Maschen im Bilde zu sein. Phishing-Mails sind nicht zuletzt durch die Möglichkeiten von GenKI mittlerweile solch authentische Imitate von E-Mails vertrauenswürdiger großer Marken geworden, dass man sehr leicht versehentlich auf einen verseuchten Link klickt und so aus Versehen zum Hacker-Komplizen wird. Regelmäßige Fortbildungen zu modernen Phishing-und Social-Engineering-Methoden, wie Voice-Phishing per KI-Nachbildung von Stimmen, und der Erkennung von Bedrohungsindikatoren stärken das Bewusstsein der Mitarbeiter für diese Risiken und lehren sie, diese zu erkennen. Sie sind dazu eine nützliche Teambuilding-Maßnahme, die das Vertrauen der Mitarbeiter untereinander stärken kann. Überwachung der Benutzeraktivität und Zero Trust Der Zero-Trust-Ansatz ist zum fundamentalen Grundprinzip jeder modernen IT-Sicherheitslösung geworden und das mit gutem Grund: Er ist nämlich die Antithese zu jeder Art von Zugangsmissbrauch. ‘Vertraue niemandem und wenn, dann erst nach ausreichender Prüfung’, so lautet die Devise. Dabei kann es jedoch schwierig sein, gewöhnliches von verdächtigem Nutzungsverhalten zu unterscheiden. Die Überwachung von Login-Verhalten und die Nutzung von IAM-Systemen (Identity Access Management) und Multi-Faktor-Authentifizierung (MFA) sind daher entscheidend, um ungewöhnliche oder unbefugte Zugriffsversuche frühzeitig zu erkennen. Solche Systeme tragen dazu bei, Insider-Bedrohungen zu identifizieren, bevor sie Schaden anrichten können und verkleinern die Angriffsfläche jeder Organisation enorm. Mitarbeiter-Wohlbefinden Ein oft übersehener Aspekt der Sicherheitskultur ist das Wohlbefinden der Mitarbeiter. Regelmäßige Check-ins und das Vermitteln des Gefühls, dass ihre Meinungen und Bedenken ernst genommen werden, können dazu beitragen, das Risiko zu verringern, dass Mitarbeiter wissentlich oder unwissentlich zu einer Sicherheitsbedrohung werden. Gleichzeitig erhöhen das die Motivation in der Belegschaft, Sicherheitsmaßnahmen ernst zu nehmen, und vorsichtig zu sein, um sich selbst und ihr Arbeitsumfeld zu schützen. Auch innerbetriebliche Konflikte zwischen dem Personal können ausschlaggebend für Sabotage-Akte sein. Diese durch offene Kommunikation, Mediation und Schlichtung zu unterbinden, hilft letztlich nicht nur dem Arbeitsklima, sondern auch der Compliance. Denn warum sollten sich Mitarbeiter gegen den Arbeitgeber wenden, wenn sie wertschätzend behandelt und gehört werden? Menschlichkeit und Technik gegen Insider-Bedrohungen Insider-Bedrohungen sind eine wachsende Bedrohung, doch das heißt nicht, dass aus einer vertrauensvollen Unternehmenskultur nun ein Spionage-Thriller werden muss, in dem alle gemeinsam den Maulwurf suchen und niemand niemandem mehr vertraut. Die Prävention gegen Insider-Bedrohungen erfordert schlicht einen umfassenden Ansatz, der sowohl technische Maßnahmen für das Zugriffs-Management als auch die Förderung einer positiven Unternehmenskultur umfasst. Unter dem Dach von Identity Management vereinen sich zudem alle Werkzeuge, die CISOs und IT-Verantwortliche brauchen, um Risiko-Quellen im Inneren schnell erkennen und bannen zu können. Das wirksamste Mittel gegen unabsichtliche oder geplante Insider-Gefahren sind jedoch immer noch Mitarbeiter, die ihrem Arbeitgeber wohlgesonnen sind und obendrein noch ein geschultes Auge für Betrugsmaschen besitzen.   Über Omada Omada wurde im Jahr 2000 gegründet und bietet innovatives Identitätsmanagement für komplexe hybride Umgebungen auf der Grundlage unseres bewährten Best-Practice-Prozess-Frameworks und Implementierungsansatzes.   Passende Artikel zum Thema   Lesen Sie den ganzen Artikel

Für Unternehmen: Browser mit identitätsbasiertem Schutz

Nun ist er verfügbar: Der CyberArk Secure Browser für Unternehmen. Es handelt sich um den ersten Browser, der mit einem identitätsbasierten Schutz mehr Sicherheit und Datenschutz bietet und beides mit einer vertrauten, produktiven User Experience verbindet. Der CyberArk Secure Browser setzt auf intelligente Berechtigungskontrollen und kann unkompliziert auf einer Vielzahl von Geräten bereitgestellt werden. Er wurde speziell für eine Cloud-first-Welt entwickelt und ermöglicht sichere Zugriffe auf On-premises-Ressourcen und auf SaaS-Anwendungen. Der Browser bietet Security-Teams eine einzigartige Sichtbarkeit, Kontrolle und Governance und hilft damit, den Missbrauch kompromittierter Identitäten, Geräte und Zugangsdaten sowohl beim Login als auch darüber hinaus zu verhindern. Als Teil der CyberArk Identity Security Platform stellt er sichere Zugriffe für jede menschliche und nicht-menschliche Identität auf alle Ressourcen und Umgebungen sicher – von jedem Ort aus und mit jedem Gerät. Mehr Kontrolle bereits im Browser „Der zunehmende Einsatz von Fernzugriffen, SaaS-Anwendungen und Cloud-Infrastrukturen hat uns einen blinden Fleck im Bereich der Sicherheit beschert. Deshalb müssen wir unsere Security-Konzepte überdenken und in Tools investieren, die die Zugriffe einer verteilten Belegschaft auf kritische Ressourcen absichern“, betont Chris Dove, Enterprise Architect, California Department of Finance. „Die Erweiterung unserer CyberArk-Umgebung um den CyberArk Secure Browser erlaubt es uns, Sicherheitsrichtlinien strikt durchzusetzen, ohne dass dies zu Lasten der Produktivität geht. Wir sind in der Lage, unsere Daten besser zu schützen, da Mitarbeiter nur über einen sicheren, isolierten Browser auf Arbeitssysteme zugreifen können – ein Browser, der Passwörter rotiert und verhindert, dass sie an unsicheren Plätzen gespeichert und möglicherweise gestohlen werden.“ Eine im März durchgeführte Umfrage1 unter Büroangestellten in den USA verdeutlicht die browserbasierten Sicherheitsrisiken, mit denen Unternehmen konfrontiert sind: - 78 Prozent der Befragten nutzen für den Zugriff auf vertrauliche und sensible Unternehmensdaten dasselbe Gerät wie beim privaten Surfen. - 65 Prozent geben an, dass sie gegen die Unternehmensrichtlinien zum „Safe Browsing“ verstoßen müssen, um ihre Aufgaben zu erfüllen. 12 Prozent verletzen die Richtlinien „immer“. - 59 Prozent speichern arbeitsbezogene Logins und Passwörter in dem Browser, den sie im Arbeitsalltag verwenden. Teil der CyberArk Identity Security Platform Der CyberArk Secure Browser ist für Kunden der CyberArk Identity Security Platform verfügbar. Er schützt die wertvollsten Ressourcen von Unternehmen, indem er ein sicheres passwortloses Benutzererlebnis und einen einfachen Zugriff auf privilegierte Informationen und Systeme ermöglicht. Damit hilft er, Sicherheitsverletzungen durch Cookie-Diebstahl oder Session-Hijacking zu verhindern. Angriffe in der jüngeren Vergangenheit und neue Untersuchungen der CyberArk Labs haben gezeigt, wie leicht es Cyberkriminellen mit Techniken wie Cookie-Diebstahl fällt, Authentifizierungstools zu umgehen und unautorisierten Zugang zu sensiblen Daten und Systemen zu erhalten. Der CyberArk Secure Browser löst die wichtigsten Security-Herausforderungen von Unternehmen: - Sichert alle Zugriffe via Browser, inklusive privilegierten und sensiblen Zugriffen - Integriert sich komplett in das Identity und Access Management sowie in die gesamte Security-Architektur des Unternehmens - Bietet Anwendern einen sicheren Weg, mit eigenen oder ungemanagten Geräten auf Unternehmensressourcen zuzugreifen - Trennt berufliche und private Anwendungen und Domänen - Ermöglicht einen einfachen, schnellen Zugriff auf Ressourcen für alle Arten von Anwendern, inklusive solchen mit hohem Risiko - Erleichtert das Einhalten von regulatorischen Vorschriften und Audit-Anforderungen     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Quantensichere Verschlüsselung

Ein Anbieter von Lösungen, die das Privileged Access Management (PAM) nahtlos erweitern, bietet ab sofort einen effektiven Schutz vor Bedrohungen in der Post-Quantum-Computing-Ära an: die quantensichere Verschlüsselung von Geheimnissen und Anmeldedaten. Die quantensichere Verschlüsselung auf dem Secret Server entspricht den NIST-Standards und ermöglicht es Unternehmen, kritische Zugangsdaten mit einem der vier vom NIST empfohlenen asymmetrischen Algorithmen, CRYSTALS-Kyber, vor dem Zugriff durch Quantencomputer zu schützen. Laut der Cybersecurity & Infrastructure Security Agency (CISA) „eröffnet das Quantencomputing interessante neue Möglichkeiten. Zu den Folgen dieser neuen Technologie gehören jedoch auch Bedrohungen für die derzeitigen kryptografischen Standards, die die Vertraulichkeit und Integrität von Daten gewährleisten und Schlüsselelemente der Netzwerksicherheit unterstützen.“ Die gestiegenen finanziellen Investitionen in die Quantentechnologie beliefen sich im Jahr 2022 auf 2,35 Milliarden US-Dollar, womit die Aussicht auf einen nutzbaren Quantencomputer immer realistischer wird. Unternehmen tun daher gut daran, mit den Vorbereitungen für die Implementierung von Post-Quanten-Kryptografie und einer Roadmap für die Quantenbereitschaft zu beginnen. Die quantensichere Verschlüsselung von Geheimnissen und Berechtigungsnachweisen im eigenen SaaS-Tresor ist die neueste Innovation auf der Delinea-Plattform. Sie ist ein Beispiel für funktionale Sicherheit, die in bestehende Privileged-Access-Management-Workflows integriert ist und die mit Quantencomputing verbundenen Risiken effektiv reduziert. Quantensichere Verschlüsselung Aller Voraussicht nach werden Quantencomputer in der Lage sein, viele der Verschlüsselungsalgorithmen zu brechen, die derzeit von Unternehmen zum Schutz sensibler Daten und Kommunikation verwendet werden. Die quantensichere Verschlüsselung begegnet dieser Herausforderung, indem sie die langfristige Sicherheit sensibler Daten, staatlicher Kommunikation, Finanztransaktionen, Aufzeichnungen aus dem Gesundheitswesen und anderer wichtiger Informationsbestände gewährleistet. Die Einbeziehung der quantensicheren Verschlüsselung in die Sicherheitsstrategie eines Unternehmens für privilegierte Konten gewährleistet, dass die Daten auch dann sicher bleiben, wenn Quantencomputer verfügbar sind. Die quantensichere Verschlüsselung von Delinea nutzt einen der vier von der NIST empfohlenen asymmetrischen Algorithmen, CRYSTALS-Kyber. Sie wurde entwickelt, um sensible Geheimnisse mit dem geringsten Aufwand für die Anwender zu schützen. Die neue QuantumLock-Funktion, ein Upgrade der aktuellen DoubleLock-Funktion, dient als zusätzliche Sicherheitsebene für Geheimnisse. Sie schützt nicht nur den allgemeinen Zugriff, sondern auch den privilegierten Zugriff für Administratoren der PAM-Lösung. Damit entspricht die Verschlüsselung den Empfehlungen von CISA und NIST und stellt sicher, dass wertvolle Daten heute und in Zukunft geschützt sind.     Passende Artikel zum Thema ff7f00 Einbau einer aufklappbaren box Lesen Sie den ganzen Artikel

KMU: Backup und Recovery inklusive Malware-Erkennung 

Mehr Resilienz gegen Ransomware bei KMU: Die aktuelle Version der All-in-One-Datenschutzlösung Veritas Backup Exec bietet neue Malware-Erkennung, rollenbasierte Zugriffskontrolle sowie schnelleres Backup und Recovery. Sicheres Multi-Cloud-Datenmanagement: Veritas hat Weiterentwicklungen für Veritas Backup Exec angekündigt. Auf die einheitliche Backup- und Recovery-Lösung vertrauen weltweit mehr als 45.000 kleine und mittelständische Unternehmen (KMU). Die neuesten Updates umfassen Funktionen zur Malware-Erkennung, rollenbasierte Zugriffskontrolle und weitere Optimierungen für die schnelle Sicherung und Wiederherstellung geschäftskritischer Daten. Ransomware: Mehr Schutz und Datensicherheit Mit der Zunahme von Ransomware-Angriffen wächst die Sorge um die Datensicherheit in allen Unternehmen. Eine Studie von Veritas ergab, dass 78 Prozent der deutschen Unternehmen in den letzten zwei Jahren Opfer einer solchen Attacke wurden. Die Mehrheit der Befragten gab auch an, dass die Risiken für die Datensicherheit zunehmen. Dennoch verzichten gerade viele kleine Unternehmen auf eine Cyber-Versicherung oder eine Absicherung gegen Cyber-Risiken, weil sie glauben, dass sie aufgrund ihrer geringen Größe eher unter dem Radar von Cyberkriminellen fliegen. Dabei sind sie genauso anfällig für Ransomware-Angriffe. Martin Böker, Director Channel DACH bei Veritas, erklärt: „Die aktuelle Version von Backup Exec bietet viele neue Funktionen mit echten Vorteilen für bestehende und zukünftige Kunden. Wir konnten bereits ein starkes Umsatzwachstum verzeichnen, sehen jetzt aber noch größeres Potenzial für uns und unsere Channel-Partner. Die neuen Funktionen von Backup Exec sind darauf angelegt, den wachsenden Herausforderungen in den Bereichen Datensicherheit, Benutzerzugriffskontrolle und Optimierung der Backup-Performance gerecht zu werden.“ All-in-One-Lösung soll die Bedienung erleichtern Der integrierte Ansatz von Veritas Backup Exec macht den Einsatz mehrerer Einzelprodukte überflüssig und bietet kleinen und mittleren Unternehmen eine leistungsstarke und kostengünstige Lösung, mit der sie den dynamischen Veränderungen in der Daten- und Sicherheitslandschaft begegnen können. Veritas erweitert kontinuierlich die Funktionen und Abwehrmaßnahmen der Lösung und folgt dabei einem schnellen Entwicklungszyklus. Zu den innovativen Funktionen der aktuellen Version von Veritas Backup Exec gehören: Malware-Erkennung Bietet KMU eine zusätzliche Verteidigungslinie gegen die Verbreitung von Viren in ihrer Datenumgebung. Mit der von Microsoft Defender unterstützten Malware-Erkennung in Veritas Backup Exec können VMware- und Hyper-V-Backups jederzeit beispielsweise vor der Wiederherstellung von Daten überprüft werden. Rollenbasierte Sicherheit Beschränkt den Datenzugriff auf die spezifische Rolle eines Benutzers. Wenn ein Konto von Hackern kompromittiert wird, können diese nur die wenigen Daten beschädigen, die mit dem Konto dieses bestimmten Benutzers verbunden sind. Schnelleres Backup und Recovery Verbessert den Schutz durch kontinuierliche inkrementelle Backups für VMware und Hyper-V. Die Sicherung virtueller Maschinen ist jetzt effizienter, da mehrere virtuelle Laufwerke gleichzeitig gesichert werden, was eine sofortige Wiederherstellung virtueller Maschinen ermöglicht.   Über Veritas  Veritas Technologies ist ein führender Anbieter für die sichere Multi-Cloud-Datenverwaltung. Mehr als 80.000 Kunden – darunter 91 Prozent der Fortune-100-Unternehmen – verlassen sich beim Schutz, der Wiederherstellung und der Compliance ihrer Daten auf Veritas.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Phishing-Studie: Mitarbeiter gehen viel zu hohes Risiko 

Knapp zwei Drittel der Mitarbeiter in Deutschland (64 %, weltweit 68 %) setzen ihr Unternehmen wissentlich Risiken aus, die zu Ransomware- oder Malware-Infektionen, Datensicherheitsvorfällen oder finanziellen Verlusten führen können. Das sind nur einige Erkenntnisse aus dem Proofpoints 2024 State of the Phish Report. Das ist nur ein Ergebnis des zehnten jährlichen State of the Phish Reports von Proofpoint. Während die Häufigkeit erfolgreicher Phishing-Angriffe leicht zurückgegangen ist (86 Prozent der befragten Unternehmen in Deutschland erlebten 2023 mindestens einen erfolgreichen Angriff, gegenüber 89 Prozent im Vorjahr), sind die negativen Folgen sprunghaft angestiegen: Meldungen über finanzielle Sanktionen, z.B. in Form von Geldstrafen, nahmen um 510 Prozent zu, und bei den Meldungen von Reputationsschäden gab es einen Zuwachs von 67 Prozent. Viel Unwissenheit über die Gefahren Die Ergebnisse der diesjährigen Studie stellen insbesondere die weit verbreitete Annahme in Frage, dass sich Menschen aufgrund mangelhaften Wissens über Cybersicherheit riskant verhalten und Aufklärung daher unsichere Handlungsweisen verhindern könne. Auch die Überzeugung vieler Sicherheitsexperten, dass den meisten Mitarbeitern bewusst sei, welche Rolle ihnen beim Schutz des Unternehmens zuteilwird, darf angesichts der Studienergebnisse bezweifelt werden. Der diesjährige „State of the Phish“-Report bietet einen detaillierten Überblick über die aktuelle Bedrohungslage, in der Cyberkriminelle generative KI, QR-Codes und Multifaktor-Authentifizierung (MFA) missbrauchen. Belegt werden die Ergebnisse durch Proofpoints Telemetrie-Daten auf Basis von mehr als 2,8 Billionen gescannten E-Mails in 230.000 Organisationen weltweit sowie durch die Ergebnisse von 183 Millionen simulierten Phishing-Angriffen, die über einen Zeitraum von zwölf Monaten versendet wurden. Der Report beleuchtet auch die Einschätzungen von 7.500 Mitarbeitern und 1.050 Sicherheitsexperten in 15 Ländern. Er zeigt, wie sich die Einstellung zur Cybersicherheit im tatsächlichen Verhalten manifestiert und wie Bedrohungsakteure neue Wege gehen, um die menschliche Vorliebe für Schnelligkeit und Bequemlichkeit auszunutzen. Auch geht der Report auf den aktuellen Stand von Initiativen zur Förderung des Sicherheitsbewusstseins ein. Auswertung mit 230.000 Organisationen weltweit Mitarbeiter verhalten sich nicht deshalb riskant, weil es ihnen an Sicherheitsbewusstsein mangelt: 69 Prozent der befragten Berufstätigen gaben zu, sich riskant zu verhalten, z.B. indem sie ein Passwort wiederverwenden oder weitergeben, auf Links von unbekannten Absendern klicken oder ihre Login-Daten an eine nicht vertrauenswürdige Quelle weitergeben. 93 Prozent von ihnen taten dies in Kenntnis der damit verbundenen Risiken, was bedeutet, dass 64 Prozent der deutschen Beschäftigten die Sicherheit ihres Unternehmens bewusst gefährden. Die Motive für riskantes Verhalten sind vielfältig, wobei die meisten Mitarbeiter Bequemlichkeit (46 %), den Wunsch nach Zeitersparnis (44 %) und ein Gefühl der Dringlichkeit (22 %) als Hauptgründe nennen. Missverhältnis zwischen IT-Teams und Mitarbeitern 86 Prozent der befragten Sicherheitsexperten gehen davon aus, dass die meisten Mitarbeiter wissen, dass sie für die Sicherheit mitverantwortlich sind. Demgegenüber waren sich 65 Prozent der befragten Mitarbeiter entweder nicht sicher oder sie gaben an, dass sie überhaupt nicht verantwortlich sind. Praktisch alle Beschäftigten (93 %), die eine riskante Handlung begangen haben, sind sich der damit verbundenen Risiken bewusst – ein klarer Beleg, dass Sicherheitsschulungen das Bewusstsein der Beschäftigten schärfen. Allerdings bestehen deutliche Unterschiede zwischen dem, was Sicherheitsexperten und Beschäftigte für wirksam halten, um eine Verhaltensänderung zu erreichen. Sicherheitsexperten glauben, dass mehr Schulungen (80 %) und strengere Kontrollen (92 %) die Antwort sind, aber fast alle befragten Mitarbeiter (92 %) sagen, dass sie der Sicherheit Vorrang einräumten, wenn die Kontrollen einfacher und benutzerfreundlicher wären. MFA vermittelt trügerisches Gefühl von Sicherheit Jeden Monat werden mehr als eine Million Angriffe mit dem MFA-Bypass-Framework EvilProxy gestartet. 89 Prozent der deutschen Sicherheitsexperten glauben jedoch immer noch, dass MFA einen vollständigen Schutz vor Accountübernahmen bietet. BEC-Angriffe (Business Email Compromise) profitieren von KI In Deutschland wurden im vergangenen Jahr 82 Prozent der Unternehmen Ziel von BEC-Angriffen, verglichen mit 86 Prozent im Jahr 2022. Insgesamt meldeten weltweit weniger Unternehmen E-Mail-Betrugsversuche. Allerdings stieg das Angriffsvolumen in Ländern wie Japan (+ 35 % im Vergleich zum Vorjahr), Südkorea (+ 31 %) und den VAE (+ 29 %). In diesen Ländern gab es in der Vergangenheit aufgrund kultureller oder sprachlicher Barrieren möglicherweise weniger BEC-Angriffe. Aber dank generativer KI können Angreifer überzeugendere und stärker personalisierte E-Mails in mehreren Sprachen erstellen. Proofpoint identifiziert jeden Monat im Durchschnitt 66 Millionen gezielte BEC-Angriffe. Cyber-Erpressung nach wie vor lukrativ 85 Prozent der deutschen Unternehmen wurden im vergangenen Jahr erfolgreich mit Ransomware infiziert (ein Anstieg um 35 % im Vergleich zum Vorjahr). 75 Prozent der deutschen Unternehmen haben sogar mehrere separate Ransomware-Infektionen erlebt. Von den Unternehmen, die von Ransomware betroffen waren, erklärten sich fast alle (93 %) bereit, die Angreifer zu bezahlen (gegenüber 81 % im Vorjahr). Dabei erhielten 63 Prozent nach einer einzigen Zahlung wieder Zugriff auf ihre Daten (gegenüber 41 % vor einem Jahr). Telefonbasierte Angriffe (Telephone-oriented Attack Delivery: TOAD) weiterhin auf dem Vormarsch Eine TOAD-Angriffskette beginnt vermeintlich unschuldig mit einer Nachricht, die einige falsche Informationen und eine Telefonnummer enthält. Sie wird gefährlich, wenn ein ahnungsloser Mitarbeiter ein betrügerisches Callcenter anruft und seine Zugangsdaten preisgibt oder böswilligen Akteuren Fernzugriff gewährt. Proofpoint identifiziert durchschnittlich 10 Millionen TOAD-Angriffe pro Monat, wobei im August 2023 mit 13 Millionen Vorfällen ein vorläufiger Höchststand erreicht wurde. Trotz der wachsenden Gefahr von Bedrohungen wie Ransomware, TOAD und MFA-Bypass sowie deren zunehmende Raffinesse sind viele Unternehmen nicht ausreichend vorbereitet oder geschult, ihnen entgegenzutreten. Nur 21 Prozent der deutschen Unternehmen schulen ihre Mitarbeiter in der Erkennung und Verhinderung von TOAD-Angriffen und ebenso wenige schulen Nutzer über den Einsatz generativer KI.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Ohne Zwangspause: Schnelle Datenmigration auf neue Systeme

Die Datenmigration, also die Verlagerung von Daten von einem alten System in ein neues, ist eine wichtige Aufgabe in einem Unternehmen. Die Erfahrung zeigt, dass die Datenmigration oft viel Zeit in Anspruch nimmt und mit einigen Herausforderungen verbunden ist. Es geht aber auch viel schneller, einfacher und sicherer! Die Lebensdauer von IT-Hardware beträgt im Durchschnitt fünf Jahre. Nach diesem Zeitraum ist ein Austausch erforderlich, oft aufgrund von Leistungseinschränkungen oder Sicherheitsrisiken. Darüber hinaus bedeutet der technologische Fortschritt, dass Unternehmen ihre Datensysteme aktualisieren müssen. Veraltete Systeme stellen ein Sicherheitsrisiko dar. Die Migration auf modernere Systeme verringert das Risiko von Datenverletzungen und Schäden durch Cyberangriffe. Zudem ermutigt die Fokussierung auf Gesetze zum Datenschutz und zur Wahrung der Privatsphäre die Unternehmen zur Migration, um den neuen Vorschriften und Standards zu entsprechen. Herausforderungen bei der Migration Traditionell wird die Datenmigration Datei für Datei durchgeführt, was zeitaufwändig und riskant sein kann. Jede Datei wird einzeln verschoben, und das nimmt bei großen Datenmengen viel Zeit in Anspruch. Die zur Gewährleistung der Datenintegrität erforderliche Genauigkeit, z. B. die Überprüfung auf Fehler oder Beschädigungen, verlangsamt den Prozess zusätzlich. Auch eine etwaig nötige Konvertierung oder Änderung, um die Kompatibilität mit neuen Systemen zu gewährleisten, beansprucht Zeit. Eine solche Sorgfalt ist zwar für die Integrität und Funktionalität der migrierten Daten unerlässlich, kann aber auch betriebliche Herausforderungen mit sich bringen, wie z. B. den eingeschränkten Zugriff auf Dateien während der Migration. Flexibilität und Geduld sind daher in diesem Prozess von entscheidender Bedeutung. Schnellere und einfachere Migration Die Datenmigration kann heute jedoch viel schneller und einfacher erfolgen, ohne Unterbrechung des täglichen Betriebs. - Das Silent-Cubes-System von FAST LTA bietet eine Mindestlebensdauer von zehn Jahren, wodurch sich der Migrationsbedarf im Vergleich zu Systemen mit einer durchschnittlichen IT-Lebensdauer halbiert. - Darüber hinaus bieten Silent Cubes eine einzigartige Art der Datenmigration: Silent Transfer. Wie der Name schon sagt, handelt es sich um einen stillen Migrationsprozess, der im Hintergrund abläuft. So werden Sie im täglichen Betrieb nicht gestört. - Mit Silent Transfer werden die Daten blockweise migriert, was wesentlich effizienter ist als die dateiweise Migration. Darüber hinaus stellt Silent Transfer sicher, dass die Daten überprüft werden, indem der Hash-Schlüssel der Quelldaten mit dem Hash-Schlüssel der Daten auf dem neuen System verglichen wird. Auf diese Weise können Sie nachweisen, dass die Daten nicht verändert wurden, und die gesetzeskonforme Archivierung wird erheblich erleichtert. Das Silent Cube-System wird jährlich von KPMG für die gesetzeskonforme Archivierung zertifiziert. Mit diesem System können Sie nachweisen, dass Sie gemäß den Richtlinien archivieren. Damit entfällt die Notwendigkeit eines teuren Audits, um festzustellen, ob Ihr Unternehmen vorschriftsmäßig archiviert. Ein Beispiel aus der Praxis Um die Vorteile der Silent-Transfer-Methode von FAST LTA zu verdeutlichen, gibt es eine aktuelle Fallstudie: In einem Testszenario wurden 0,95 TB an Daten, verteilt auf 6,3 Millionen Dateien, migriert. Diese Migration dauerte mit der klassischen Methode eineinhalb Wochen. Die Gesamtgröße des zu migrierenden Archivs war aber etwa 100-mal größer und belief sich auf 96 TB und 630 Millionen Dateien. Die herkömmliche Durchlaufzeit für diese Datenmenge, die mit der Datei-für-Datei-Methode durchgeführt wird, würde schätzungsweise 152 Wochen betragen - ein enorm langer Zeitraum für eine solche Aufgabe. Dieser Ansatz ist nicht nur äußerst ineffizient – man darf auch nicht die potenziellen Betriebsunterbrechungen vergessen, die bei herkömmlichen Datenmigrationen auftreten können. 7 Monate ohne Arbeitsunterbrechung statt 3 Jahre Pause Durch die Anwendung der Silent-Transfer-Methode von FAST LTA konnte diese Mammutaufgabe jedoch auf nur sieben Monate verkürzt werden. Dies zeigt nicht nur eine erhebliche Zeitersparnis, sondern unterstreicht auch die Effizienz und Benutzerfreundlichkeit dieser Methode. Mit Silent Transfer können Unternehmen riesige Datenmengen bei minimaler Unterbrechung ihres Tagesgeschäfts migrieren und dabei die Datenintegrität und -sicherheit aufrechterhalten. Dieser praktische Fall zeigt, dass Silent Transfer Unternehmen viel Zeit, Kosten und unvorhergesehene Unterbrechungen erspart.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Neue russische Malware Kapeka entdeckt

Die Security-Experten von WithSecure haben Kapeka enttarnt. Die neue Malware scheint Verbindungen zur russischen Hacker-Gruppe Sandworm zu haben. Mehrere Faktoren deuten klar darauf hin, dass die Entwicklung und der Einsatz der Malware mit dem Russland-Ukraine-Krieg zusammenhängen: Die Zeitpunkte, die Orte, sowie die wahrscheinliche Verbindung zur russischen Sandworm-Gruppe. Threat-Intelligence-Forscher von WithSecure™ (ehemals F-Secure Business) haben eine neuartige Malware entdeckt, die mindestens seit Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt wird. Die Malware mit dem Namen Kapeka kann mit einer Gruppe namens Sandworm in Verbindung gebracht werden. Sandworm ist eine russische Hacker-Gruppe, die von der Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Gruppe ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt, mit denen sie russische Interessen in der Region verfolgt. Backdoor-Malware mit Tarnfunktion Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf APT-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe. Entwicklung und Einsatz von Kapeka sind eng mit dem aktuellen Russland-Ukraine-Krieg verbunden. Die Backdoor wird seit dem illegalen Einmarsch wahrscheinlich bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt. Verbindung zu russischer Sandworm-Gruppe „Kapeka macht uns aufgrund der Verbindungen zu russischen APT-Kampagnen - und dabei vor allem zur Sandworm-Gruppe - große Sorgen“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. „Die seltenen, zielgerichteten Angriffe, die vor allem in Osteuropa beobachtet wurden, deuten auf ein maßgeschneidertes Tool für Angriffe mit begrenztem Umfang hin. Außerdem haben weitere Analysen Ähnlichkeiten mit GreyEnergy zum Vorschein gebracht – einem weiteren Toolkit, das wohl zu Sandworm gehört. Dies unterstreicht die Verbindungen zur Gruppe und weist auf eine erhöhte Bedrohungslage für mögliche Angriffsziele in Osteuropa hin.“ WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet. Gerade bei staatlichen Bedrohungsakteuren ist nicht davon auszugehen, dass sie ihre Tätigkeit einstellen oder funktionierende Tools ausmustern. Die seltenen Sichtungen von Kapeka können daher ein zusätzlicher Hinweis auf einen staatlichen geführten, avancierten Hackerangriff (APT) sein. Diese Angriffe können sich über Jahre erstrecken – etwa im Krieg zwischen Russland und der Ukraine.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Lancom LCOS mit Schwachstelle bei Root-Passwort 

Lancom und auch das BSI melden einen Konfigurations-Bug für das Betriebssystem LCOS: Eine Schwachstelle mit dem CVSS-Wert von 6.8 kann das erlangen von Administratorrechten ermöglichen. Ein Update steht bereit. Die Meldung auf der Lancom-Seite und auf der Seite des BSI sind nicht ganz konform. Beide melden zwar eine Schwachstelle ab der LCOS ab der Version 10.80 RU1, aber während Lancom keine Gefahr sieht "Ein unautorisierter Zugriff auf den Router über das WAN (Internet) ist durch diese Sicherheitslücke nicht möglich", nutzt das BSI in seiner Überschrift den Hinweis "Schwachstelle ermöglicht Erlangen von Administratorrechten". Root-Passwort wird leer überschrieben Anscheinend wurde Lancom vom einem Nutzer informiert, dass beim Anlegen eines weiteren administrativem Nutzers durch den Windows-Setup-Assistent das Root-Passwort des Administrators einfach löscht. LCOS ist ab der Version 10.80 RU1 von dieser Sicherheitslücke betroffen. Niedrigere LCOS-Versionen bzw. andere LANCOM Betriebssysteme sind nicht betroffen. Das Verhalten ist in der LCOS-Version 10.80 SU4 behoben. Weiterhin teilt Lancom mit: In Public Spot-Szenarien mit einem separaten Gastnetzwerk ist durch die Verwendung von VLAN oder einem WLC-Tunnel ein Management-Zugriff aus dem Gastnetzwerk auf die Access Points nicht möglich und damit eine Gefährdung ausgeschlossen. LANCOM Systems empfiehlt dringend die fehlerbereinigte LCOS-Version 10.80 SU4 einzuspielen.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Starker Anstieg von Ransomware

Ein führender Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform, hat seine neuen Statistiken zu Cyber-Attacken und Ransomware für den Zeitraum Q1 2024 veröffentlicht. In der DACH-Region gingen die allgemeinen Cyber-Attacken deutlich zurück im Vergleich zum Q1 2023 (-17 Prozent). Gleichzeitig nahm jedoch die Verbreitung von Ransomware in Europa am stärksten von allen Regionen im Jahresvergleich zu (64 Prozent). Die meiste Ransomware in absoluten Zahlen aber verzeichnet weiterhin Nordamerika, wo 59 Prozent von fast 1.000 Ransomware-Angriffen stattfanden. Bezogen auf Branchen verzeichneten Kommunikationsunternehmen den stärksten Ransomware-Anstieg im Jahresvergleich (177 Prozent), gefolgt von Fertigungsunternehmen (96 Prozent) und dem Gesundheitswesen (63 Prozent). Hierbei handelt es sich um Informationen, die von Ransomware-Shame Sites stammen, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und die Namen und Informationen der Opfer veröffentlichen. Die Daten von diesen Shame Sites sind mit eigenen Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem. Bildung und Forschung im Visier von Ransomware Im Jahresvergleich nach absoluten Zahlen aller Cyber-Attacken bleiben die am häufigsten attackierten Sektoren der Bildungs- und Forschungsbereich (-2 Prozent), danach der Bereich von Behörden und dem Militär (-2 Prozent) und das Gesundheitswesen (-5 Prozent). Einen starken Anstieg meldeten hier die Hardware-Verkäufer (37 Prozent), die Beratungsunternehmen (29 Prozent) und die Software-Verkäufer (21 Prozent). Den stärksten Rückgang hatten Versicherungsunternehmen und die Juristerei (-74 Prozent), ISP/MSP (-51 Prozent) und SI/VAR/Distributoren (33 Prozent). Omer Dembinsky, Data Research Group Manager bei Check Point Software Technologies, sagt: „Angesichts der dynamischen Landschaft der Cyber-Bedrohungen im ersten Quartal 2024 ist es klar, dass unser Ansatz für die IT-Sicherheit ebenso dynamisch sein muss. Der signifikante Anstieg und das Volumen von Cyber-Angriffen in Regionen wie Europa, Afrika und vor allem Nordamerika, wo 59 Prozent der bekannten Ransomware-Angriffe konzentriert waren, signalisiert einen dringenden Bedarf an erhöhter Wachsamkeit und robusten Gegenmaßnahmen. Ransomware: Anstieg um 177 Prozent zum Vorjahr Der erschreckende Anstieg der Ransomware-Angriffe um 96 Prozent gegenüber dem Vorjahr in der verarbeitenden Industrie und der beispiellose Anstieg um 177 Prozent gegenüber dem Vorjahr in der Kommunikationsbranche sind ein Hinweis auf die Schwachstellen, die durch die rasche digitale Transformation und die kritische Natur dieser Branchen entstehen. Diese Zahlen sind nicht einfach nur Statistiken; sie sind ein dringender Aufruf an Unternehmen aller Branchen, ihre Verteidigung zu verstärken und der Cyber-Sicherheit die Priorität einzuräumen, was die Notwendigkeit adaptiver, KI-gestützter Verteidigungsstrategien unterstreicht.“     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

MDR: Erweiterter Managed Detection and Response-Dienst

Cybersecurity-Spezialist Bitdefender hat sein weiterentwickeltes Angebot für Managed-Detection-and-Response-Dienste vorgestellt. Unternehmen und Organisationen können ab sofort zwei verschiedene Stufen des Dienstes beziehen: MDR und MDR PLUS sind auf die spezifischen Bedürfnisse für die Kunden je nach Branche und Herkunftsort oder unter Berücksichtigung weiterer Risikofaktoren wie etwa der jeweiligen Supply Chain zugeschnitten. Bitdefender MDR überwacht sowie erkennt kontinuierlich Bedrohungen und reagiert auf sie. Darüber hinaus leistet das Dienstangebot aktives Threat Hunting. Sicherheitsanalysten leiten Kunden mit ihren Ratschlägen an und beraten sie zur Risikolage. Die zentrale Verwaltung der Dienste von einem einzigen Punkt aus erfolgt über die Bitdefender GravityZone-Plattform. Diese einheitliche Plattform zur Analyse des Sicherheitsstatus und der Risiken bietet fortschrittlichen Endpunktschutz einschließlich Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) sowie Cloud-Sicherheit: Dazu gehört das Cloud Security Posture Management durch GravityZone CSPM+. Gravity Zone CSPM+ bietet Cloud Security Posture Management (CSPM) und Cloud Infrastructure Entitlement Management (CIEM) in einer wirksamen und effizienten Kombination. SOCs: MDR-Experten mit Echtzeit-Informationen Die MDR-Dienste von Bitdefender leisten die Experten in den Security Operation Centers (SOCs) des Unternehmens in Nordamerika, Europa und Asien. Die SOCs sind miteinander verbunden und tauschen in Echtzeit Informationen zu Gefahren aus, welche das umfangreiche Bitdefender-Netzwerk sammelt: Hunderte von Millionen Sensoren sammeln kontinuierlich und global Daten zu Cyberrisiken weltweit. Darüber hinaus ziehen die Sicherheitsanalysten Informationen der Cybersicherheitspartner von Bitdefender sowie aus der Zusammenarbeit mit Strafverfolgungsbehörden in aller Welt heran. In jedem SOC unterstützen hochqualifizierte Sicherheitsanalysten, Threat-Hunting-Spezialisten und Ermittler die Kunden. Sie decken mit ihren Fähigkeiten die Support-Level 1 bis 3 ab, um Bedrohungen zu erkennen, zu verifizieren, einzudämmen und zu beseitigen, sobald sie auftreten. Bitdefender MDR bietet folgende Vorteile Rund-um-die-Uhr-Sicherheit Bitdefender MDR erkennt, überwacht und reagiert auf die Gefahren für die IT rund um die Uhr in jeder Region. Dafür nutzt der Dienst das Bitdefender-Netz an SOCs. Die Sicherheitsanalysten von Bitdefender wählen aus einem umfassenden Sortiment an vorab definierten Maßnahmen aus, um im Ereignisfall schnell und entschieden zu reagieren. So dämmen sie Bedrohungen ein, beseitigen die Gefahren und führen weitergehende Analysen durch. Jeweils ein dezidierter Security Account Manager (SAM) steht dem Kunden zu Diensten und kommuniziert mit dem Kunden so lange, bis der Sicherheitsvorfall gelöst ist. Effektives Threat Hunting Die Threat Hunter von Bitdefender können auch Advanced Persistent Threats (APTs) aufspüren und entfernen, die sich bereits unbemerkt in Systemen befinden. Sie erkennen zudem Anomalien von Benutzern, von Applikationen oder von Dritten wie Partner oder Supply Chain. In teamübergreifender Zusammenarbeit mit den Bitdefender Labs nutzen die Threat Hunter Echtzeit-Bedrohungsdaten, um so einen aktuellen Schutz der Kundenumgebung sicherzustellen. Branchenführende Sicherheitsplattform / Robustes Reporting Bitdefender MDR-Dienste und Endpoint-Protection-Technologien werden über eine einzige Plattform ausgeführt, die von zahlreichen Branchenanalysten und unabhängigen Prüforganisationen als führend in mehreren Schlüsselkategorien, einschließlich Gefahrenabwehr, anerkannt ist. Intuitive Echtzeit-Dashboards bieten Analysen und Einblicke in die Sicherheitslage von IT-Umgebungen. Regelmäßige Berichte erschließen einen detaillierten Überblick über den Sicherheitsdienst, während Post-Mortem-Analysen ausführliche Informationen bieten, um Ereignisse zu verstehen, ihre Folgen für ein Unternehmen aufzuzeigen und Maßnahmen zum Vermeiden ähnlicher Ereignisse in der Zukunft vorschlagen. Bitdefender MDR PLUS bietet zusätzlich folgende Dienste Umfassendes Security Baselining und unternehmensspezifisches Threat Modeling Einzigartig im Vergleich zu den meisten MDR-Angeboten erstellt Bitdefender MDR PLUS eine Bedrohungsmodellierung, die auf zahlreichen Faktoren wie Größe, Branche, Marktsektor oder geographische Herkunft des Unternehmens basiert. Im Rahmen eines tiefgehenden Onboardings erstellen die Experten ein umfassendes Unternehmensprofil mit Rücksicht auf dessen spezifische Sicherheitsprobleme. Diese Baseline eines normalen Verhaltens dient dann als Grundlage, um Abweichungen zu erkennen und zu überwachen. Globale Threat-Intelligence-Feeds und -Analysen Bitdefender MDR PLUS nutzt einen umfassenden Threat Intelligence Lifecycle, um Cyber-Bedrohungen, geopolitische Aktivitäten und branchenspezifische Trends zu analysieren und die gewonnenen Erkenntnisse auf die Sicherheit der Kunden anzuwenden. Bitdefender nutzt zusätzlich zu seinen eigenen Informationen mehrere Quellen, wie etwa Cybersecurity-Partner und globale Strafverfolgungsbehörden aus aller Welt, um alle Bereiche einschließlich des Dark Web abzudecken. Überwachen von Dark Web und priorisierten Zielen (Priority Targets) Bitdefender MDR PLUS erweitert die Überwachung und den Schutz vor Gefahren über die herkömmliche Kunden-IT hinaus auf das Dark Web. Die Spezialisten der Cyber Intelligence Fusion Cell (CIFC)-Gruppe überwachen aktiv Bereiche des Dark Web, in denen kriminelle Akteure – sowie solche mit nationalstaatlichem Hintergrund – gestohlene Unternehmensdaten und geistiges Eigentum verkaufen, sich über Schwachstellen austauschen und Angriffe auf Unternehmen planen. MDR PLUS bietet mit Priority Targets die Sicht auf priorisierte Ziele in Echtzeit und setzt auf das zu schützende Ziel zugeschnittene Erkennungstechniken ein, um Risiken zu identifizieren. Dies erfolgt unter Berücksichtigung der Branche, der Marktposition eines Unternehmens oder zum Schutz wertvoller Assets. MDR entlastet interne Sicherheitsteams „Die wachsende Angriffsfläche, die Netzwerke, Applikationen, die Cloud und die Supply Chain umfasst, stellt interne Sicherheitsteams vor extreme Herausforderungen. Ihnen fehlt es oft an der notwendigen Technologie und den personellen Ressourcen, um mit den Angreifern Schritt zu halten und die notwendigen mehrschichtigen Defensivstrategien effektiv zu implementieren“, sagt Andrei Florescu, President und General Manager der Bitdefender Business Solutions Group. „Bitdefender MDR Services beseitigt diese Komplexität durch einen Rund-um-die-Uhr-Dienst, der unsere branchenführenden nativen Technologien zum Schutz von Endpunkten sowie globale Threat Intelligence mit dem aktiven Monitoring von Logins und Dashboards durch Elite-Sicherheitsanalysten verbindet, um Angriffe schnell zu stoppen.“ Laut Gartner ist „die Cyberbedrohungslandschaft ständig in Bewegung und die Komplexität der Angriffe auf Unternehmen nimmt zu. Den meisten Unternehmen fehlen die Ressourcen, das Budget oder die Bereitschaft, eine eigene SOC-Funktion rund um die Uhr aufzubauen und zu betreiben, die erforderlich ist, um sie beim Schutz und bei der Abwehr von Angriffen zu unterstützen, die immer größere Folgen und Schäden für den Betrieb verursachen. MDR-Dienste ermöglichen es Unternehmen, Gefahren besser zu erkennen und abzuwehren.“¹     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Risiken durch steigende Nutzung von künstlicher Intelligenz

Ein Report verdeutlicht, dass 569 TByte an Unternehmensdaten an KI-Tools weitergegeben werden, und unterstreicht die Relevanz besserer Datensicherheit. KI/ML-Transaktionen in Unternehmen stiegen von 521 Millionen monatlich im April 2023 auf 3,1 Milliarden im Januar 2024. Mit 21 Prozent aller KI-Transaktionen generiert das produzierende Gewerbe den meisten KI-Datenverkehr in der Zscaler Cloud, gefolgt vom Finanz- und Versicherungswesen (14 Prozent) und Services (13 Prozent). Die beliebtesten KI-/ML-Anwendungen für Unternehmen nach Transaktionsvolumen sind ChatGPT, Drift, OpenAI, Writer und LivePerson. Die fünf Länder mit den meisten KI-Transaktionen in Unternehmen sind die USA, Indien, Großbritannien, Australien und Japan. Deutschland rangiert auf Platz 7 weltweit mit einem Anteil von 3,4 Prozent. Der AI Security Report analysiert mehr als 18 Milliarden KI-Transaktionen in der Zscaler Zero Trust Exchange Cloud-Sicherheitsplattform von April 2023 bis Januar 2024. Die Forscher der Zscaler ThreatLabz zeigen Trends von KI-/ML-Tools im Unternehmenseinsatz über verschiedene Branchen und Regionen hinweg, Anpassungen an eine sich wandelnde KI-Landschaft und die Sicherheit im Umgang mit den Tools auf. Dabei müssen Unternehmen die von generativer KI (GenKI) ausgehende Transformation in zwei Richtungen beachten: Einerseits durch die abgesicherte Einführung von GenKI-Tools im Unternehmen mit Hilfe von Zero Trust und andererseits durch die Abwehr der neuen KI-gesteuerten Bedrohungen. Da Unternehmen neue KI-Funktionen und -Tools in ihre täglichen Arbeitsabläufe integrieren hat sich das Volumen der Transaktionen und der generierten Daten vervielfacht. Das höhere Volumen spiegelt sich in einer fast 600-prozentigen Zunahme der Transaktionen sowie in 569 Terabyte an Unternehmensdaten wider, die zwischen September 2023 und Januar 2024 an KI-Tools gesendet wurden. KI-Transaktionen wachsen exponentiell Von April 2023 bis Januar 2024 verzeichneten die ThreatLabz einen Anstieg der KI-/ML-Transaktionen um fast 600 Prozent auf mehr als drei Milliarden monatlich, die die Zero Trust Exchange-Plattform im Januar durchlaufen haben. Trotz des zunehmenden Sicherheitsrisikos und der steigenden Zahl von Datenschutzvorfällen setzen Unternehmen KI-Tools weitläufig ein. Das verarbeitende Gewerbe ist mit gut einem Fünftel des Gesamtvolumens an Transaktionen zu KI-Tools führend. Ein Anwendungsfall ist die Analyse riesiger Datenmengen von Maschinen und Sensoren zur präventiven Erkennung von Anlagenausfällen. Weitere Einsatzmöglichkeiten sind die Optimierung des Lieferkettenmanagements, des Lagerbestands und der Logistikabläufe. Unter den Top Fünf der weiteren Branchen rangieren ebenfalls das Finanz- und Versicherungswesen (14 Prozent), der Dienstleistungssektor (13 Prozent), Technologie (10 Prozent) und der Einzel-/Großhandel (5 Prozent). ChatGPT ist die beliebteste GenKI-Anwendung Die Analyse zeigt, dass ChatGPT für mehr als die Hälfte aller KI-Transaktionen in Unternehmen verantwortlich war (52 Prozent), während die OpenAI-Anwendung selbst mit 8 Prozent nur an dritter Stelle lag. Drift, der beliebte KI-gestützte Chatbot, generierte fast 20 Prozent des Unternehmensdatenverkehrs, während LivePerson und BoldChat ebenfalls gelistet sind. Writer war das beliebteste GenKI-Tool für die Erstellung schriftlicher Unternehmensinhalte. Die USA sind führend bei der Nutzung von KI-Tools in Unternehmen Die Trends zur Einführung von KI differieren weltweit, da Vorschriften, Anforderungen, technologische Infrastruktur, kulturelle Erwägungen und andere Faktoren eine wichtige Rolle bei der Adoption spielen. Mit 40 Prozent haben die USA den höchsten Anteil an KI-Transaktionen im weltweiten Unternehmensvergleich. Indien liegt mit 16 Prozent an zweiter Stelle, angetrieben durch die starke Innovationstätigkeit des Landes. Obwohl der Anteil Großbritanniens an den weltweiten KI-Transaktionen nur 5,5 Prozent beträgt, nimmt es damit mit einem Fünftel (20 Prozent) des KI-Verkehrs die Spitzenposition in EMEA ein. Frankreich (13 Prozent) und Deutschland (12 Prozent) folgen dicht dahinter als zweit- und drittgrößte Generatoren von KI-Datenverkehr in EMEA. In APAC deckten die ThreatLabz einen Anstieg von fast 1,3 Milliarden (135 Prozent) mehr KI-Transaktionen in Unternehmen im Vergleich zu EMEA auf. Dieser sprunghafte Anstieg ist vermutlich auf die umfassende Nutzung von KI-Tools für die den Geschäftsbetrieb im gesamten Tech-Sektor in Indien zurückzuführen und deutet auf eine höhere Konzentration von Tech-Arbeitsplätzen, eine größere Bereitschaft zur Akzeptanz neuer Technologien und geringeren Nutzungsbarrieren hin. KI-gestützte Bedrohungsakteure Die sich weiterentwickelnde Leistungsfähigkeit von KI ist für Unternehmen zu einem zweischneidigen Schwert geworden. Während KI ein immenses Potenzial für Innovation und Effizienz bietet, birgt sie auch eine Reihe neuer Risiken, mit denen sich Unternehmen auseinandersetzen müssen. Dazu zählen insbesondere Risiken im Zusammenhang mit der Nutzung von GenKI-Tools im Unternehmen und einer sich ausbreitenden KI-gestützten Bedrohungslandschaft, die in drei Bereiche unterteilt werden können: Schutz des geistigen Eigentums und nicht-öffentlicher Informationen und das damit einhergehende Risiko eines Datenverlusts Datenschutz- und Sicherheitsrisiken, die mit KI-Anwendungen einhergehen, wie unter anderem eine erweiterte Angriffsfläche, neue Vektoren für die Verbreitung von Bedrohungen und ein erhöhtes Risiko in der Lieferkette Bedenken hinsichtlich der Datenqualität, die mit dem Konzept von „garbage in, garbage out“ einhergehen und damit das Potenzial für Datenverfälschung beflügeln. Gleichzeitig sind Unternehmen einer kontinuierlichen Flut von Cyber-Bedrohungen ausgesetzt, die ebenfalls durch KI gesteuert werden. Angreifer setzen auf KI, um ausgefeilte Phishing- und Social Engineering-Kampagnen zu orchestrieren. Sie entwickeln Malware und Ransomware, die Schwachstellen in den Angriffsflächen von Unternehmen ausnutzen und die Geschwindigkeit, den Umfang und die Vielfalt von Angriffen verstärken. Um dieser Herausforderung zu begegnen, müssen Unternehmen einerseits die sich schnell entwickelnde KI-Landschaft evaluieren, um selbst Vorteile daraus zu ziehen. Zeitgleich müssen Cybersicherheitsspezialisten die Risiken minimieren und Unternehmen gegen KI-gestützte Angriffe wappnen. Zero Trust Zscaler versetzt Unternehmen in die Lage, das Potenzial von KI-Anwendungen zu nutzen und gleichzeitig die Sicherheit ihrer Daten zu gewährleisten, indem eine Umgebung errichtet wird, die vor Datenexfiltration schützt. Die Zero Trust ExchangeTM-Plattform bietet dafür ein umfassendes Toolset mit vier wichtigen Funktionen: Vollständiger Einblick in die Nutzung von KI-Tools, granulare Erstellung von Zugriffsrichtlinien für KI, granulare Datensicherheit für KI-Anwendungen, leistungsstarke Kontrollen mit Browser-Isolierung. Durch die Nutzung der Zero Trust-Sicherheitskontrollen können Unternehmen ihre KI-Transformation umsetzen und das volle Potenzial der generativen KI ausschöpfen und gleichzeitig ein Höchstmaß an Sicherheit gewährleisten. Die Plattform schützt vor KI-gesteuerten Bedrohungen und granular abgestimmte KI-Richtlinien sorgen für Datenschutz.     Passende Artikel zum Thema   Lesen Sie den ganzen Artikel

Schwachstellen XenServer und Citrix Hypervisor

Citrix warnt vor zwei Schwachstellen in XenServer und Citrix Hypervisor. Die Sicherheitslücken sind zwar nur mittelschwer, aber dennoch wird ein rasches Update empfohlen. Citrix stellt bereits Hotfixes dafür bereit. Laut Citrix wurden zwei Probleme festgestellt, die XenServer und Citrix Hypervisor betreffen. Durch eine Schwachstelle kann mit nicht privilegiertem Code in einer Gast-VM der Zugriff auf den Speicherinhalt der eigenen VM oder anderer VMs auf demselben Host möglich sein. Dadurch können Daten oder Zugriffsdaten entwendet werden. Speicherinhalt anderer VMs kopierbar Citrix stellt die Probleme unter den folgenden CVE-Kennungen vor: CVE-2024-2201 und CVE-2024-31142. Allerdings betrifft CVE-2024-2201 nur Virtuelle Maschinen die Intel-CPUs verwenden. Hingegen betrifft CVE-2024-31142 betrifft nur die VMs die AMD-CPUs verwenden. Unter der weiteren CVE-2023-46842 erklärt Citrix eine weitere Schwachstellen. Dabei ist es Angreifern möglich, bei Ausführung von schädlichem Code mit Privilegien in einer Gast-VM den Host zum Absturz zu bringen. Das Problem betrifft dabei VMs unter Intel- genauso wie unter AMD-Prozessoren. Updates stehen bereit Für Nutzer von XenServer 8 verwenden gibt es ein Update sowohl auf den Early Access- als auch auf den normalen Update-Kanal. Passende Anweisungen gibt es per Whitepaper von Citrix für XenServer 8. Für Nutzer von Citrix Hypervisor 8.2 CU1 LTSR steht ebenfalls ein Update samt Anleitung bereit.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Erfolgreiches Phishing: Angreifer attackieren MFA-Dienstleister für Cisco Duo 

Kurz "Duo" nennt Cisco seine Zero-Trust-Sicherheitsplattform. Deren Zugänge sind state of the art durch eine Multi-Faktor-Authentifizierung (MFA) geschützt. Durch einen Phishing-Angriff auf den Dienstleister von Cisco, konnten Angreifer auf den Provider zugreifen und Protokolle stehlen, die Infos, wie Telefonnummern, Netzbetreiber, Länder sowie weitere Metadaten enthielten. Cisco hat eine Nachricht veröffentlicht, die über den Vorfall informiert, der den Duo-Telefonie-Provider betrifft. Dieser Anbieter wird von Duo genutzt, um MFA-Nachrichten per SMS und VOIP an Kunden zu senden. Cisco arbeitet aktiv mit dem Anbieter zusammen, um den Vorfall zu untersuchen und zu beheben. Ciscos Kommunikations-Provider wird durch Phishing infiltiriert Laut dem Anbieter erlangte ein Angreifer am 1. April 2024 durch Phishing Zugriff auf dessen interne Systeme und lud MFA-SMS-Nachrichtenprotokolle herunter, die zu Duo-Konten gehören. Die Protokolle enthalten laut Cisco zwar keine Nachrichteninhalte, aber Telefonnummern, Netzbetreiber, Länder und Staaten sowie weitere Metadaten. Der Anbieter bestätigte, dass der Angreifer keinen Zugriff auf die Inhalte der Nachrichten hatte. Nach Entdeckung des Vorfalls leitete der Anbieter sofort eine Untersuchung ein, setzte Maßnahmen zur Schadensbegrenzung um und informierte Cisco. Es wurden auch Maßnahmen eingeführt, um zukünftige Vorfälle zu verhindern und das Risiko von Social-Engineering-Angriffen zu verringern. Der Anbieter hat Cisco auch Kopien der Nachrichtenprotokolle zur Verfügung gestellt, die der Angreifer erbeutet hat. Kunden können bei Duo anfragen, ob sie betroffen sind.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Browser-Attacke: Beschleunigung durch Grafikkarte als Angriffspunkt

Browser-Attacke: Über eine Website mit schädlichem JavaScript konnten Forschende des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz bei drei verschiedenen Angriffen über WebGPU Informationen zu Daten, Tastatureingaben und Verschlüsselungs-Keys auf fremden Rechnern ausspionieren. Moderne Websites stellen immer höhere Anforderungen an die Rechenleistung von Computern. Daher erhalten Web-Browser neben der CPU eines Rechners seit einigen Jahren auch Zugriff auf die Rechenkapazitäten der Grafikkarte (Graphics Processing Unit oder GPU). Über Programmierschnittstellen wie WebGL und den neuen Standard WebGPU kann die Skriptsprache JavaScript die Ressourcen der GPU nutzen. Das birgt allerdings Risiken. Forscher führen Browser-Attacke auf Crome, Edge & Co aus WebGPU ist derzeit zwar noch in aktiver Entwicklung, Browser wie Chrome, Chromium, Microsoft Edge und die Nightly-Versionen von Firefox unterstützen es allerdings bereits. Durch die größere Flexibilität und das modernisierte Design gegenüber WebGL wird die Schnittstelle in den kommenden Jahren eine große Verbreitung erfahren. „Unsere Angriffe brauchen keine Interaktion der Nutzer*innen mit einer Website und sie laufen in einer Zeitspanne, die es erlaubt, sie beim normalen Internetsurfen durchzuführen. Durchgeführt hat das Forschungsteam seine Attacken auf mehreren Systemen, in die unterschiedliche Grafikkarten der Hersteller NVIDIA und AMD eingebaut waren – von NVIDIA waren es Karten der Serie GTX 1000 sowie der RTX-Serien 2000, 3000 und 4000, von AMD kamen Karten der Serie RX 6000 zum Einsatz. Für alle drei Angriffsarten nutzten die Forschenden den über WebGPU verfügbaren Zugriff auf den Cache-Speicher des Rechners, der für besonders schnelle und kurzfristige Datenzugriffe von CPU und GPU gedacht ist. Über diesen Seitenkanal gelangten sie an Metainformationen, die Rückschlüsse auf sicherheitsrelevante Informationen erlauben. Änderungen im Cache als Hinweisgeber Das Team konnte Veränderungen im Cache mitverfolgen, indem es ihn mittels eines Codes im JavaScript über WebGPU selbst befüllte und darauf achtete, wann die eigenen Daten durch Eingaben wieder aus dem Cache entfernt wurden. Das ließ relativ schnell eine recht genaue Analyse der Tastatureingaben zu. Durch eine feinere Segmentierung des Cache konnten die Forschenden mit einem zweiten Angriff auch einen eigenen, geheimen Kommunikationskanal aufbauen, bei dem gefüllte und nicht gefüllte Cache-Segmente als Nullen und Einsen und damit als Basis für Binärcode dienten. Sie nutzten 1024 dieser Cache-Segmente und erreichten dadurch Übertragungsgeschwindigkeiten von bis zu 10,9 Kilobyte pro Sekunde, was zur Übertragung einfacher Informationen schnell genug war. Diesen Kanal können Angreifer nutzen, um Daten abzuziehen, die sie mittels anderer Attacken in vom Internet abgetrennten Bereichen des Computers auslesen konnten. Drei erfolgreiche Angriffsvarianten Der dritte Browser-Attacke richtete sich auf die AES-Verschlüsselung, die zur Chiffrierung von Dokumenten, Verbindungen und Servern genutzt wird. Auch hier füllten sie wieder den Cache auf, allerdings mit einer eigenen AES-Verschlüsselung. Durch die Reaktion des Cache darauf konnten sie jene Stellen identifizieren, die im System für die Verschlüsselung zuständig sind und dort die Schlüssel des angegriffenen Systems abgreifen. „Unser AES-Angriff würde unter Echtzeit-Bedingungen wahrscheinlich etwas komplizierter ausfallen, weil auf einer GPU viele Verschlüsselungen parallel laufen“, sagt Roland Czerny vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz. „Dennoch konnten wir demonstrieren, dass wir auch Algorithmen sehr präzise angreifen können. Die Erkenntnisse unserer Arbeit haben wir natürlich den Browser-Herstellern vorab mitgeteilt und wir hoffen, dass sie dieses Thema in der weiteren Entwicklung von WebGPU berücksichtigen werden.“ Bereits Ende letztem Jahres war anderen Forschern ein ähnlicher Angriff auf die GPU-Beschleunigung gelungen: In einem Forschungs-Papier stellen Forscher der Universitäten Austin Texas,  Carnegie Mellon, Washington und Illinois Urbana-Champaign eine Methode vor, wie sie einen Seitenkanalangriff auf Grafikkarten GPUs ausführen, der zum Abrufen sensibler Informationen aus laufenden Programmen verwendet werden kann. Dieser “Pixeldiebstahl” und deren Werte – Artefakte – läuft dabei z.B. über den Browser eines Nutzers.   Passende Artikel zum Thema Lesen Sie den ganzen Artikel

Falle: Gefälschte Skype-, Zoom- und Google Meet-Websites

Einige Angreifer nutzen Online Meeting-Dienste als Köder für Malware. So haben Forscher von Zscaler gefälschte Skype-, Zoom- und Google Meet-Websites gefunden, die von Bedrohungsakteuren zur Verbreitung von Remote Access Trojanern - kurz RAT - genutzt wurden. Das ThreatLabZ-Team von Zscaler warnt vor gefälschten Online Meeting-Seiten, über die verschiedene Malware-Familien verbreitet werden. Bereits Anfang Dezember 2023 entdeckten die Forscher einen Bedrohungsakteur, der gefälschte Skype-, Google Meet- und Zoom-Webseiten zur Verbreitung von Malware erstellt, um darüber Remote Access Trojaner wie SpyNote RAT an Android-User und NjRAT und DCRat an Windows-User zu verbreiten. Diese Seiten tauchen immer wieder in neuen Varianten auf. Täuschend echte Webadressen als Falle Der Malware-Akteur setzte dafür auf shared Webhosting und hostet alle gefälschten Webseiten für Online-Meetings auf einer einzigen IP-Adresse. Dabei waren die URLs der gefälschten Websites den echten sehr ähnlich, so dass die Fälschung durch einen flüchtigen Blick nicht zu erkennen ist. Wenn ein User eine der gefälschten Websites besucht, wird durch Klicken auf die Android-Schaltfläche der Download einer bösartigen APK-Datei gestartet. Das Klicken auf die entsprechende Windows-Schaltfläche löst dagegen den Download einer BAT-Datei aus. Die BAT-Datei sorgt bei ihrer Ausführung für zusätzliche Aktionen, die letztendlich zum Download einer RAT-Payload führen. Falsche Webseiten mit Skype Bei ihren Untersuchungen haben die Sicherheitsforscher entdeckt, dass die erste gefälschte und inzwischen gesperrte Website “join-skypeinfo” Anfang Dezember erstellt wurde, um User zum Herunterladen einer gefälschten Skype-Anwendung zu verleiten. Die Windows-Schaltfläche verwies auf eine Datei mit der Bezeichnung “Skype8.exe” und die Google Play-Schaltfläche auf “Skype.apk”. Die Apple App Store-Schaltfläche leitete nur zur Originalseite von Skype für iOS weiter, was darauf hindeutet, dass der Bedrohungsakteur mit seiner Malware nicht auf iOS-User abzielte. Falsche Meeting-Seiten für Google Meet und Zoom Ende Dezember erstellte der Angreifer eine weitere gefälschte Website die Google Meet imitierte. Die gefälschte Google Meet-Seite wurde so gehostet, dass der Unterpfad “gry-ucdu-fhc" zu sehen war. Er wurde absichtlich so erstellt wurde, dass er einem Google Meet-Beitrittslink ähnelt. Auch für Zoom fanden die Experten Ende Januar 2024 zudem eine gefälschte Zoom-Seite. Deren URL enthielt einen Unterpfad, der einer vom Zoom-Client generierten Meeting-ID sehr ähnlich ist. RAT - Remote Access Trojaner standen bereit Die Bedrohungsakteure adressieren mit dieser Kampagne auf Unternehmen und verwenden bekannte und beliebte Online Meeting-Dienste als Köder, um RATs für Android und Windows zu verbreiten. Diese Remote Access Trojaner sind in der Lage, vertrauliche Informationen zu stehlen, Tastenanschläge zu protokollieren oder Dateien abzuziehen. Diese Ergebnisse unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen zum Schutz vor sich weiterentwickelnden Bedrohungen sowie die Bedeutung regelmäßiger Updates und Sicherheits-Patches. Die Zscaler Cloud Sandbox erkennt die Samples durch ihr Verhalten und verweisen auf spezifische MITRE ATT&ACK-Techniken die während der Analyse getriggert werden.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel