Die Arbeitshilfe unter­stützt baye­ri­sche Kommunen bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 8 des Gesetzes über die elek­tro­ni­sche Verwaltung in Bayern (BayEGovG). Dort wird gefor­dert, die Sicherheit der infor­ma­ti­ons­tech­ni­schen Systeme der Behörden durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen im Sinn des Artikels 7 des Bayerischen Datenschutzgesetzes sicher­zu­stel­len und die erfor­der­li­chen Informationssicherheitskonzepte zu erstel­len. Alle Kommunen in Bayern müs­sen bis zum 1. Januar 2018 den Nachweis füh­ren kön­nen, einen syste­ma­ti­schen Ansatz zur dau­er­haf­ten Gewährung der Informationssicherheit ein­ge­führt zu haben und auch zu betrei­ben.
Im Frühjahr 2017 wer­den für die Verantwortlichen in den Kommunen, die sich mit der Thematik Informationssicherheit aus­ein­an­der­set­zen müs­sen, Webinar‐Angebote geplant. Eine Information über die Termine erfolgt geson­dert.

Die Arbeitshilfe wird in zwei Ausführungen zur Verfügung gestellt:

  • PDF Version zum Drucken ohne Anlagen
  • Arbeitsversion mit Anlagen als ZIP

Link zum Download http://www.bay-innovationsstiftung.de/index.php?id=80

Mitarbeiter in Personalabteilungen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryptotrojaner namens “Goldeneye” (mög­li­cher­wei­se eine Anlehnung an die schlag­kräf­ti­ge Waffe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Personalabteilungen ins Visier. Die als Bewerbung getarn­te Email ent­hält eine XLS Tabelle. Wird die­se geöff­net und die Sicherheitsabfrage zur Aktivierung der “Bearbeitungsfunktion” (gemeint ist die Ausführung von Makros) bejaht, geht der bereits von ande­rer Ransomware bekann­te Ablauf los. Da es sich bei Goldeneye augen­schein­lich um einen Ableger von Petya han­delt, einem zuvor bereits akti­ven Verschlüsselungstrojaner, wird das System zu einem Neustart gezwun­gen und dar­auf­hin die Verschlüsselung begon­nen (der Betrachter sieht der­weil einen Bildschirm, der an die Anzeige des Betriebssystemtools Chkdsk erin­nert).

Mittlerweile hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email‐Text und PDF‐Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewerbung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stellenausschreibungen der betrof­fe­nen Organisation erwähnt. Weiterhin wer­den in Teilen nur orga­ni­sa­ti­ons­in­ter­ne Email‐Adressen ange­spro­chen, inter­ne Ansprechpartner und Rufnummern genannt, die in der Form nicht frei ver­füg­bar sind. Die Versender müs­sen dem­nach eini­ges an Aufwand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kampagne zu beschaf­fen. Da die ange­häng­te XLS Tabelle regel­mä­ßig geän­dert wird, tun sich vie­le Virenscanner zur Zeit noch sehr schwer.

Als Absender fun­giert iro­ni­scher­wei­se eine Email‐Adresse eines Unternehmens, das unter ande­rem Entschlüsselungshilfe für von Petya betrof­fe­ne Organisationen anbie­tet. Sowohl das Unternehmen, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner  als auch der Träger des Absendernamens “Rolf Drescher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffswelle nichts zu tun zu haben. Es wird viel­mehr ein Racheakt ver­mu­tet, da sich Goldeneye und Petya sehr ähn­lich sind. Aufgrund der vie­len Anfragen und Beschwerden wur­den die Arbeitsabläufe der Ingenieursozietät bereits stark beein­träch­tigt. Ob auch wei­te­re Email‐Adressen für den Versand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Meldungen von heise.de sind akut betrof­fen Windows 7, Windows 10 und Server 2008. Die Schadroutine scheint auf Windows Server 2012 nicht zu funk­tio­nie­ren. Verlassen soll­te man sich dar­auf jedoch nicht. Auch zur Verschlüsselung von Dateien auf Netzfreigaben gibt es unter­schied­li­che Aussagen, ob die­se von “Goldeneye” erreicht wer­den oder nicht.

Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter zeit­nah für die­se aktu­el­le Bedrohung. Sie soll­ten sich dabei nicht auf Mitarbeiter im Personalbereich beschrän­ken. Auch wenn Inhalt und Aufmachung der Email, gera­de durch die Nennung nur orga­ni­sa­ti­ons­in­ter­ner Fakten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Aufmerksamkeit gebo­ten.

Update 08.1216:

Anscheinend bedie­nen sich die Macher von Goldeneye an Daten der Bundesagentur für Arbeit, um ihren Kryptotrojaner samt Text so pas­send wie mög­lich auf die Zielorganisation zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stellenausschreibungen der Agentur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agentur dazu bis­her auf mehr­ma­li­ge Nachfragen kei­ne Stellung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Verwendung des Agentur‐Logos in den der Anfrage bei­gefüg­ten Screenshots hin­ge­wie­sen.

Wir hal­ten Sie infor­miert.

Hunderttausende Anschlüsse (die Rede ist von 900.000) bun­des­weit sind betrof­fen, kein Netz — kein Telefon, kein Internet, kein IP‐Fernsehen. Wurden bis­her die Ursachen im Telekom‐Netz oder bei den Routern auf Kundenseite ver­mu­tet, bestä­tigt jetzt ein Sprecher der Telekom den Verdacht eines Hacker‐Angriffs: “Wir haben erste Hinweise dar­auf, dass wir mög­li­cher­wei­se Opfer eines Hackerangriffs gewor­den sind.”

Im Moment rät die Telekom dazu, den kun­den­sei­ti­gen Router vom Stromnetz zu tren­nen und eini­ge Zeit aus­ge­schal­tet zu las­sen. Möglicherweise ver­bin­det sich der Router nach erneu­tem Einschalten wie­der mit dem Telekom‐Netz.

Quelle: http://www.spiegel.de/netzwelt/web/telekom-stoerung-hinweise-deuten-auf-hackerangriff-hin-a-1123380.html

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto‐Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online‐Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor‐Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto‐Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup‐Strategie oder ein voll­wer­ti­ger Recovery‐Test zurück?

http://heise.de/-3354925

Ja, ich bin beken­nen­der Nutzer von Online‐Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit bei­tra­gen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking‐Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen wer­den?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPhone wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN‐Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx‐xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon‐PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nach­ge­hakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht :-) ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage ver­schie­ben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

Nicht zuletzt die in jüng­ster Zeit stark zuge­nom­me­ne Bedrohung von Kommunen etwa durch Verschlüsselungstrojaner macht die Bedeutung einer ange­mes­se­nen IT‐Sicherheit für Kommunen deut­lich. Mit Inkrafttreten des Gesetzes über die elek­tro­ni­sche Verwaltung in Bayern (BayEGovG) vom 22. Dezember 2015 erhält das Thema Informationssicherheit für die Kommunen künf­tig auch for­mal einen noch höhe­ren Stellenwert. Art. 8 Abs. 1 S. 2 BayEGovG ver­pflich­tet die Behörden, die Sicherheit ihrer infor­ma­ti­ons­tech­ni­schen Systeme durch ange­mes­se­ne technisch‐organisatorische Maßnahmen im Sinne von Art. 7 Abs. 2 BayDSG sicher­zu­stel­len sowie die hier­zu erfor­der­li­chen Informationssicherheitskonzepte bis zum 1. Januar 2018 zu erstellen.Im Rahmen eines Projektes der Innovationsstiftung Bayerische Kommune soll den baye­ri­schen Kommunen bei der Bewältigung der künf­ti­gen Herausforderungen in der Informationssicherheit eine pra­xis­na­he Hilfestellung ange­bo­ten wer­den. Da die Inhalte eines „Informationssicherheitskonzeptes“ im BayEGovG nicht näher defi­niert sind, soll zunächst näher beschrie­ben wer­den, wel­che Mindestanforderungen ein sol­ches kom­mu­na­les Informationssicherheitskonzept beinhal­tet. Dabei muss die indi­vi­du­el­le Situation und unter­schied­li­che Leistungsfähigkeit der ein­zel­nen Kommunen berück­sich­tigt wer­den.  
Im Rahmen des Projektes wird eine Mustervorlage erstellt, die vor allem klei­ne­ren und mitt­le­ren Kommunen hel­fen soll, ein Informationssicherheitskonzept auch tat­säch­lich in der Praxis umzu­set­zen. Hier sol­len kon­kre­te Maßnahmenempfehlungen z.B. zur Technik und Organisation sowie zu den not­wen­di­gen Prozessen gege­ben wer­den, die mit mög­lichst gerin­gem Anpassungsaufwand von den Kommunen umge­setzt wer­den kön­nen. In erster Linie rich­tet sich das Projekt an IT‐ und Geschäftsleiter, Datenschutz‐ und IT‐Sicherheitsbeauftragte sowie im Rahmen eines Management‐Summarys auch an den (Ober-)Bürgermeister bzw. Landrat.

Die Innovationsstiftung Bayerische Kommune setzt bei die­sem Vorhaben erneut auf die Zusammenarbeit mit dem in kom­mu­na­len Fragen erfah­re­nen IT‐Sicherheitsberater, Herrn Sascha Kuhrau (ansäs­sig in Simmelsdorf im Kreis Nürnberger Land), der bereits den Quick‐Check Datensicherheit und Datenschutz für Kommunen erstellt hat. Vorgesehen ist, das Stiftungsprojekt unter ande­rem auf dem AKDB‐Kommunalforum vor­zu­stel­len, wel­ches am 18.10.2016 in der BMW‐Welt in München statt­fin­det.

Entgegen aller nach­voll­zieh­ba­ren Bedenken wer­den Online Passwort Speicher nach wie vor ger­ne genutzt. Dabei lie­gen die gesam­mel­ten Passwörter nicht mehr im Einflussbereich des jewei­li­gen Inhabers, son­dern auf (meist ame­ri­ka­ni­schen) Servern. Die Nutzerzahlen las­sen den Schluss zu, die Anwender ver­trau­en die­sen Services unge­bro­chen ger­ne ihre Passwörter an. Gesichert sind die­se dort mit einem Masterpasswort und diver­sen Techniken wie Verschlüsselung etc.

Doch ist das Vertrauen in sol­che Services gerecht­fer­tigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neu­en Sicherheitsproblem, son­dern mit einem älte­ren, das nicht kon­se­quent besei­tigt wur­de. Auch die Nutzer müs­sen sich dabei an die eige­ne Nase fas­sen, sofern Sie Updates von Lastpass und betrof­fe­ner Addons nicht durch­ge­führt haben. LastPass emp­fiehlt daher drin­gend, alle Updates (auch der dazu­ge­hö­ri­gen Browser‐Addons) ein­zu­spie­len und das Master‐Passwort schnell zu ändern.

Wir haben in der Vergangenheit bereits mehr­fach auf unse­rem Fachblog Datenschutz auf grund­le­gen­de und aktu­el­le Sicherheitsprobleme sol­cher Online Passwort Speicher hin­ge­wie­sen. Wir emp­feh­len nach wie vor Lösungen wie KeePass, die als Open Source zur Verfügung ste­hen. Hier kön­nen Sie den zen­tra­len Passwort‐Speicher in eine ver­schlüs­sel­te Cloud Ihrer Wahl abspei­chern und somit eben­falls den Zugriff von allen Geräten und den mei­sten Betriebssystem bequem sicher­stel­len. Dabei sind sie nicht auf Gedeih und Verderb den Sicherheitsmaßnahmen des Anbieters aus­ge­lie­fert.

Im Unternehmensumfeld emp­fiehlt sich der Einsatz in Verbindung mit ent­spre­chen­den Mitarbeiterschulungen zum Umgang mit einer sol­chen Lösung. Wir unter­stüt­zen Sie ger­ne bei Konzeption, Einführung und Schulung.

Welcome back to the under­ground whe­re it’s a good time to be a bad guy”, mit die­sen Worten lei­tet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.

Wollten Sie schon immer mal frem­de Webseiten (oder die eines Wettbewerbers) mit­tels DoS-Attacke (Denial of Service) lahm­le­gen? Kein Problem mehr, denn für 5 US Dollar in der Stunde kön­nen Sie die dazu­ge­hö­ri­ge Technik samt Bot‐Netz dazu anmie­ten. Aktuelle Krypto‐Trojaner erhal­ten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gera­de mal 20 US Dollar teu­rer. Angler unter­sucht die Browser von Webseitenbesuchern auto­ma­tisch auf bekann­te Schwachstellen und lie­fert dazu pas­sen­den Schad‐Code aus. Die pas­sen­de Hardware für das Skimming von EC‐Geräten wird für unter 400 US Dollar feil­ge­bo­ten. Sollten Sie noch nicht ganz firm im Umgang mit die­sen Techniken sein, so gibt es Online‐Tutorials für 20 US Dollar gleich dazu.

Diese Zahlen prä­sen­tiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund‐Software‐Märkten mit Profil und genau­en Angaben zur Erfahrung in die­sem Métier dar­stel­len. Das hohe Level über­rascht jedoch weni­ger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünsch­te Erfolg erreicht ist. Das ist doch mal ein Service.

Den Report im PDF Format kön­nen Sie hier her­un­ter­la­den.

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart‐Routinen ein­ge­steck­ter USB‐Sticks und USB‐Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows‐Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup‐Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery‐Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup‐Software sind allei­ne nicht aus­rei­chend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.

Mit zuneh­men­der Abhängigkeit von der Informationsverarbeitung ist es not­wen­dig, die Informationssicherheit umfas­send in alle unter­neh­me­ri­schen Entscheidungen zu inte­grie­ren. Je nach Größe und Umfang der Ausstattung der jewei­li­gen Institution mit Informationsverarbeitungstechnik ist der Aufwand hier­für deut­lich unter­schied­lich, es besteht aber gene­rell die Gefahr, dass vie­le Aspekte der Informationssicherheit im Tagesgeschäft “unter­ge­hen”. Da sich Informationssicherheit nicht auf die IT‐Sicherheit beschränkt, son­dern in vie­le wei­te­re Bereiche wie Prozesse, Verfahrensweisen, aber auch Gebäudesicherheit ein­greift, ist eine über­grei­fen­de Sicht‐ und Herangehensweise uner­läss­lich. Nur wenn eine Person expli­zit die Verantwortung zuge­wie­sen bekommt sich um alle Facetten der Informationssicherheit zu küm­mern, kann gewähr­lei­stet wer­den, dass die­se inklu­si­ve der IT‐Sicherheit gewähr­lei­stet ist. Nicht zuletzt wird die­se Funktion in allen gän­gi­gen Informationssicherheits‐Managementnormen postu­liert, ist Voraussetzung für Zertifizierungen nach ISIS12, BSI IT‐Grundschutz und ISO 27001 und kann somit als State of the Art ange­se­hen wer­den.
Sie sind mit die­ser Ausbildung zum Informationssicherheitsbeauftragten opti­mal auf das Management der Informationssicherheit vor­be­rei­tet und erhal­ten das not­wen­di­ge Wissen und die unver­zicht­ba­ren Werkzeuge, um ange­mes­se­ne Informationssicherheit zu eta­blie­ren. Daneben sind Sie in der Lage not­wen­di­ge Sicherheitsmaßnahmen so mit­ein­an­der zu ver­zah­nen, dass mit einem mög­lichst gerin­gen Aufwand das not­wen­di­ge Schutzniveau defi­niert und auch erreicht wird.

Termine und Details fin­den Sie im Veranstaltungskalender unter https://www.informationssicherheit-aktuell.de/event/ausbildung-informationssicherheitsbeauftragter/