Kategorien
365 (Microsoft) Alle Cloud Datenschutz Sicherheit Systemtechnik Teams (Microsoft)

MS Teams im Visier von Hackern

Die vermutlich russische Hackergruppe Midnight Blizzard, auch bekannt als ATP29, Cozy Bear oder Nobelium, führt eine neue Variante von Phishing-Attacken gegen Unternehmen und Regierungsorganisationen durch. Die kriminellen Angreifer versuchen, an die Anmeldeinformationen von Microsoft Teams zu gelangen, die durch eine Zwei- oder Mehrfaktor-Authentifizierung geschützt sind. Die Kriminellen nutzen bereits kompromittierte oder gehackte Microsoft-Tenants (Hauptkonto für Microsoft 365 und/oder Azure), um Teams-Nachrichten zu versenden, in denen die Identität des Teams-Supports übernommen wird oder sich die Angreifer als Mitarbeiter des technischen Supports von Microsoft ausgeben.

Es ist daher wichtig, auch bei der Kommunikation innerhalb von Microsoft Teams Vorsicht walten zu lassen und Zugangsdaten nicht unbedacht herauszugeben.

Kategorien
365 (Microsoft) Alle Cloud Datenschutz Sicherheit Systemtechnik Teams (Microsoft)

Chinesischer Hackergruppe gelang Zugriff auf Exchange-Konten

Laut dem Bericht der US-amerikanischen Behörde für Cyber- und Infrastruktursicherheit CISA vom 12. Juli 2023 ist es der chinesischen Hackergruppe Storm-558 nachweislich gelungen, ab dem 16. Mai 2023 über die Microsoft Outlook Web App (OWA) auf Exchange-Konten in Microsoft 365 und Exchange Online zuzugreifen. Es wurde bekannt, dass unter anderem das amerikanische Außenministerium betroffen war.

Aufgrund von Kundenhinweisen leitete Microsoft am 16. Juni 2023 eine Untersuchung ein. Dabei hat Microsoft eingeräumt, dass mit einem illegal erlangten Microsoft Account Signing Key (MSA) gefälschte Authentifizierungstokens erstellt werden konnten, die den Zugriff auf Exchange-Konten ermöglichten. Mit diesen Kontosignaturschlüsseln können beliebige Azure AD-Schlüssel gefälscht werden.

Die US-Behörde FCEB (Federal Civilian Executive Branch) bemerkte zufällig Zugriffe auf E-Mail-Konten von ungewöhnlichen Benutzern. Die Behörde konnte diese Beobachtung nur machen, weil sie die erweiterte Protokollierung „Purview Audit (Premium)“ einsetzt, die Microsoft den US-Behörden erst nach einem Rechtsstreit um die Kosten einräumt. Für „Audit (Premium)“ ist derzeit eine teure E5-Lizenz erforderlich (59,70 € pro Benutzer und Monat im Jahresabonnement zzgl. MwSt., Stand: 17.07.2023).

Nach dieser zufälligen Entdeckung wurde Microsoft offenbar von der US-Regierung informiert, woraufhin Microsoft eine öffentliche Erklärung abgab.

Das Ausmaß des Datendiebstahls ist noch nicht absehbar, und am 14. Juli 2023 bestätigte Microsoft (Pressemitteilung), dass man noch nicht wisse, woher die Tokens stammten, dass es den Kriminellen aber gelungen sei, weitere gefälschte Tokens zu generieren. Die von Microsoft veröffentlichten Informationen ermöglichen es den Nutzern nicht, die Bedrohungen richtig einzuschätzen. Im Interesse der Kunden und Verbraucher kann man nur hoffen, dass diese Vertuschungsstrategie nicht Ausdruck der Unternehmenskultur ist.

Zudem ist anzumerken, dass Microsoft am 17. Juli 2023 bestätigt hat, dass die Sicherheitslücke nicht mehr ausgenutzt werden kann.


Arconda Systemtechnik

Auf der Grundlage von System- oder Schwachstellenanalysen erstellen unsere Mitarbeiter intelligente und anforderungsgerechte IT-Konzeptionen und realisieren diese mit zuverlässigen Produkten führender Hersteller.

Kategorien
Alle Datenschutz Sicherheit

Schadcode in HTML-Anhängen – Eine unterschätzte Gefahr

Während die Sensibilität in Bezug auf die Verbreitung von Malware über Office-Dokumente mit Makro-Funktionen zugenommen hat und Microsoft diesen Angriffsvektor zunehmend eindämmt, nutzen Angreifer vermehrt bösartige HTML-Anhänge in E-Mails als ihr bevorzugtes Mittel.

Im Grunde besteht die Möglichkeit, dass sich in HTML-E-Mail-Anhängen Schadecode befindet. Obwohl viele Nutzer HTML-Dateien als vergleichsweise harmlos betrachten, können sie dennoch bösartigen Code enthalten. Leider können Firewallsysteme HTML-Anhänge nicht vollständig filtern, da dies die Kommunikation übermäßig beeinträchtigen würde.

Um sich vor Angriffen mit bösartigen HTML-Anhängen zu schützen, sollten bewährte Sicherheitsmaßnahmen beachtet werden. Es ist wichtig, ein hohes Maß an Sensibilisierung und Vorsicht walten zu lassen. Misstrauen Sie E-Mails von unbekannten Absendern oder solchen, die verdächtige Links oder Anhänge enthalten. Seien Sie besonders vorsichtig bei E-Mails, die dringende Handlungen erfordern oder eine erhöhte Aufmerksamkeit erzeugen wollen.

Ein typisches Beispiel für bösartige E-Mail-Anhänge sind Phishing-Attacken. Dabei erhält man eine E-Mail, die scheinbar von einem bekannten und seriösen Anbieter stammt, wie beispielsweise einer Buchungsseite oder einem Paketversender. Der bösartige Link im Anhang führt zu einer Webseite, die der Original-Anmeldemaske des seriösen Anbieters zum Verwechseln ähnlich sieht. Sobald die Anmeldedaten erfasst werden, hat der Kriminelle sein Ziel erreicht.

Aktuellen Studien zufolge enthalten etwa 45% aller HTML-E-Mail-Anhänge Schadecode (Stand: 03/23). Das stellt eine erhebliche Bedrohung dar.

Der effektivste Schutz gegen Schadecode in HTML-E-Mail-Anhängen ist das Bewusstsein der Mitarbeiter. E-Mails von unbekannten Absendern, insbesondere solche mit Anhängen, bergen ein hohes Risiko. Es lohnt sich auch, genauer auf die Absenderadressen zu achten. Ein Beispiel: Die E-Mail-Adresse „service@d4e.kj4445h.com“ gehört sicherlich nicht zum Mailserver des Technik-Konzerns Robert Bosch GmbH.

Zusätzlich bieten leistungsfähige Mailfilter und Sandbox-Funktionen von Firewallsystemen einen wirksamen Schutz. Ein Beispiel dafür ist die XGS-Baureihe des Herstellers Sophos. Des Weiteren kann der Mailserver Nachrichten rigoros ablehnen, wenn diese aus Regionen und Zeitzonen stammen, die bekanntermaßen von Kriminellen als Operationsplattform genutzt werden.

Siehe auch: SOPHOS Sandstorm

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

HP-Drucker mit akuten Sicherheitslücken

Mehrere HP-Drucker sind von akuten Sicherheitslücken betroffen.

Der Hersteller Hewlett Packard hat Updates für die Laserjet Pro und MFP Modelle veröffentlicht, um einen Befall mit Schadcode, der Ausweitung von Rechten und damit der Kompromittierung des Systems zu verhindern.

Bei dem Lücken handelt es sich um die CVE (Security vulnerability database)-Einträge CVE-2023-27971(Rechteausweitung durch Pufferüberlauf), CVE-2023-27972 (Schadcodeausführung über Command&Control Server) und CVE-2023-27973 (Schadcodeausführung).

Folgende Systeme sind betroffen:

  • HP Color LaserJet MFP M478-M479
  • HP Color LaserJet Pro M453-M454
  • HP LaserJet Pro M304-M305 
  • HP LaserJet Pro M404-M405 
  • HP LaserJet Pro MFP M428-M429 
  • HP LaserJet Pro MFP M428F-M429F 

Als Sofortmaßnahme sollten die Geräte der betroffenen Modellreihen außer Betrieb genommen werden.

Es ist umgehend die Firmware-Version 002_2310A zu installieren, welche die Sicherheitslücken schließt.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Windows 8 nicht DSGVO-konform

Ab dem 10. Januar stellt Microsoft den Support für Windows 8.1 endgültig ein.

Da in diesem Betriebssystem immer wieder neue Sicherheitslücken entdeckt werden und diese ab dem 10.01.2023 nicht mehr zeitnah durch Sicherheitsupdates von Microsoft geschlossen werden können, bleiben diese Sicherheitslücken offen und können systematisch durch Schadsoftware ausgenutzt werden.

Wir weisen ausdrücklich darauf hin, dass in diesen Fällen auch ein aktueller Virenscanner keinen Schutz bietet!

Hinsichtlich der DSGVO-Konformität wird auf Art. 32 Abs. 1 Satz 1 DSGVO verwiesen – der Einsatz von Windows 8 kann für Ihr Unternehmen nicht nur ggf. zu unwiederbringlichen Datenverlusten und hohen wirtschaftlichen Schäden durch Schadcode-Befall führen – die DSGVO sieht auch drastische Bußgelder vor. Nach Art. 5 DSGVO können Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten mit bis zu 20.000.000 € oder bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Trojaner Emotet zurück mit neuem Trick

Die aktuelle Variante des bekannten Trojaners Emotet verbreitet sich über E-Mails, die sich meist auf Zahlungsströme beziehen. Die täuschend echt gestalteten E-Mails enthalten ZIP-Anhänge mit Office-Dokumenten, die Schadmakros enthalten, die den Schadcode als schädliche DLL (Dynamic Link Library = Funktionsbibliothek) aus dem Internet nachladen.

Emotet ist nicht mehr darauf angewiesen ist, dass der E-Mail-Empfänger die Ausführung der Makros fahrlässig mit „Inhalt aktivieren“ zulässt, stattdessen werden für die E-Mail-Anhänge nun OneNote-Dateien (Software zur Organisation von Notizen von Microsoft) verwendet, für die ein Schutzstatus vorgetäuscht wird – ein Doppelklick auf „Anzeigen“ startet dann ohne weitere Sicherheitsabfrage die Ausführung der Makros und damit die Installation des Trojaners.

Bei Emonet handelt es sich um einen APT (Advanced Persistent Threat), der auf komplexe und zielgerichtete Weise IT-Infrastrukturen angreift.

Nachdem die Malware in der befallenen Infrastruktur aktiv geworden ist, nimmt diese Kontakt mit ihren Command&Control-Servern auf, lädt weitere Schadsoftware nach oder die Angreifer vollenden den Angriff manuell.

Nachdem bereits prominente Opfer wie die Heise-Gruppe, das Kammergericht Berlin sowie der BwFuhrpark-Service
, der auch als Fahrdienst für den Deutschen Bundestag fungiert, Emonet zum Opfer fielen, konnte Anfang 2021 ein ukrainischer Emonet-Betreiber ausgehoben und die Verbreitung weitestgehend gestoppt werden.

Kategorien
Alle Datenschutz Sicherheit Unternehmen

Das Netz vergisst nie

Das „Dentale Team Nord“, der führende norddeutsche Interessenverband innovativer dentaltechnischer Labore, lud am 01.03.2023 durch seine Geschäftsführer Herrn Jan Bredenbeck und Herrn Ole Junge in die neuen Räumlichkeiten der Dentaltechnik Itzehoe in der Emmy-Nöther-Str. 23 ein.

Als Referent für praxisnahe Maßnahmen zur Verbesserung der IT-Sicherheit und zur Erhöhung der Widerstandsfähigkeit gegenüber äußeren Bedrohungen wurde unser Vorstand Herr Frank Espenhain eingeladen. Ausgehend von der Erkenntnis „Das Netz vergisst nie“ wurde anhand zahlreicher Praxisbeispiele das Verständnis für mögliche Formen, Ursachen und Präventionsmaßnahmen bezüglich des Diebstahls personenbezogener Daten geschärft.

Das Skript zum Vortrag kann hier heruntergeladen werden

Herr Thomas Menke, Hightech-Spezialist der Anton Gerl GmbH aus Rodenkirchen, stellte anschließend die bekanntesten am Markt befindlichen Interoralscanner vor, ermöglichte den interessierten Zuhörern die praktische Anwendung der Systeme und erläuterte die erfahrungsgemäß zu berücksichtigenden Auswirkungen auf die Prozessabläufe im Dentallabor.

Die Veranstaltung wurde unter Mitwirkung und persönlichem Engagement des Dentalprodukt-Spezialisten Herrn Carsten Timm geplant und organisiert, wofür wir uns an dieser Stelle im Namen der Dentallabore, der Anton Gerl GmbH und auch im eigenen Namen recht herzlich bedanken.

Kategorien
Alle Datenschutz Sicherheit VoIP und 3CX

3CX Passwort – 10 Zeichen für mehr Sicherheit

Die 3CX Telefonanlage wird laufend aktualisiert, um einen maximalen Schutz vor Angriffen aus dem Internet zu gewährleisten.

Ab der Version 18.6 stellt das 3CX-System strengere Anforderungen an die Komplexität von Passwörtern:

„Das Passwort muss aus mindestens 10 Zeichen mit wenigstens einem Klein- und Großbuchstaben sowie einer Ziffer bestehen. Leerzeichen sind nicht erlaubt.“

Die Passwortänderung wird spätestens mit der nächsten administrativen Bearbeitung einer Nebenstelle erforderlich. Die Soft- und Mobilclients müssen dann systemseitig neu provisioniert werden, gleiches gilt für SIP-Endgeräte und Digital-/Analog-Konverter.

Bei Fragen steht Ihnen unser 3CX Support-Team gerne zur Verfügung.

Kategorien
365 (Microsoft) Alle Cloud Datenschutz Sicherheit Systemtechnik Teams (Microsoft)

Windows 7 nicht DSGVO-konform

Am 22. Oktober 2009 kam das Betriebssystem Windows 7 auf den Markt, am 14.01.2020 wurde der Support von Microsoft offiziell beendet. Seit dem 14.01.2020 stehen für den durchschnittlichen Anwender keine Sicherheitsupdates mehr zur Verfügung. Mit jeder weiteren Sicherheitslücke, die in Windows 7 entdeckt wird, steigt das Risiko, Opfer eines Cyberangriffs oder einer Schadcode-Infektion zu werden. Im Jahr 2020 wurden 388 Sicherheitslücken offiziell bestätigt, in 2021 waren es 253 Lücken gem. den Statistiken der seriösen MITRE Corporation, die von einer Abteilung des U.S. Department of Homeland Security, der CISA (Cybersecurity and Infrastructure Security Agency) finanziert wird.

Die Sicherheit in der Verarbeitung erfordert nach DSGVO Art. 32 Abs. 1 Satz 1 die „Berücksichtigung des Standes der Technik“, der mit dem Einsatz von Windows 7 im Jahr 2023 nicht gegeben ist.

Ein Weiterbetrieb von Windows 7 ist vor diesem Hintergrund als fahrlässig anzusehen und setzt das betreibende Unternehmen dem Risiko der Verhängung drastischer Bußgelder aus.

Darüber hinaus ist zu beachten, dass Cyberversicherungen in diesen Fällen die Leistungen mit hoher Wahrscheinlichkeit verweigern werden.

Windows 7 muss dringend gegen Windows 10 oder Windows 11 ausgetauscht werden – lassen Sie sich von uns beraten, wenn ältere Anwendungen/Programme etc. den Umstieg erschweren.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Cold Storage as a Service

Für die Hosted Cloud Arconda bieten wir unseren Kunden sog. Cold-Storage-Backups an. Cold Storage ist eine Art der Datenspeicherung, bei der die Daten als Ergänzung zu einer Backup- oder Disaster Recovery Strategie langfristig aufbewahrt werden. In Abstimmung mit dem Kunden werden regelmäßig – beispielsweise quartalsweise – vollständige Backups der gesamten Cloud-Infrastruktur erstellt und auf geeigneten mobilen externen Datenträgern gespeichert.

Cold Storage Backups tragen dem Umstand Rechnung, dass moderne Verschlüsselungstrojaner vor der Verschlüsselung der Systeme nach Backup-Prozessen suchen, um diese lahm zu legen und so eine Wiederherstellung der infizierten Systeme auszuschließen.

Die böswillige Verschlüsselung der Produktivsysteme erfolgt in diesen Fällen nicht sofort, sondern ggf. erst nach einem längeren Zeitraum, der sich über mehrere Wochen oder Monate erstrecken kann.

Einem solchen Befall mit Ransomware-Schadcode der neuesten Generation kann technisch mit einem Backup begegnet werden, das vor dem Befall mit Schadcode erstellt wurde.

Rechenzentrums-Backups lassen sich durch den Wiederanlaufzeitpunkt, die technische Wiederanlaufdauer und die minimale bzw. vertraglich garantierte Aufbewahrungsfrist charakterisieren. Die Aufbewahrungsfrist ist für jeden Rechenzentrumsbetreiber eine Herausforderung, weil Backups nur auf teuren und ausreichend leistungsstarken Storage- bzw. Massenspeichersystemen erstellt werden können. Um beispielsweise auf alle Sicherungsstände der letzten 30 Tage zurückgreifen zu können, ist mindestens eine Vollsicherung und die tägliche Speicherung der Änderungen erforderlich. Der Rechenzentrumsbetreiber muss also ein Vielfaches an Speicherplatz für das Backup bereitstellen, wobei der Speicherbedarf mit der Aufbewahrungsdauer wächst.

Unser Produkt CSaaS (Cold Storage as a Service) dient der regelmäßigen Erstellung dieser Offline-Sicherungskopien und der Abwicklung der damit verbundenen administrativen Prozesse.

Unser Produkt CSaaS ist Voraussetzung für eine nachhaltige Verbesserung der Resilienz gegenüber Schadcode-Attacken. Darüber hinaus empfehlen wir, in Abhängigkeit von der Kritikalität der ausfallgefährdeten IT-Prozesse, gemeinsam mit unserem Team ein Wiederherstellungskonzept zu entwickeln, das die Downtime der Infrastruktur und den daraus resultierenden Schaden minimiert.

Aus technischen Gründen bieten wir das Produkt CSaaS nur für die Hosted Cloud Arconda an. Unabhängig davon, ob Sie Ihre Systeme auf Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), einem anderen Cloud-Dienstleister oder noch „on premise“ selbst hosten, benötigen Sie dieses Wiederherstellungskonzept, um den Schaden nach einem Befall zu minimieren.

Kontaktieren Sie uns für ein unverbindliches Angebot.