In a recent penetration test i had the pleasure to battle with a well known EDR system. The result was so surprising that I would like to report about it here.
Pattern based detection
The first lesson to learn was that EDR relies heavily on pattern based detection of malware. I had some evidence to support this thesis: known malware and attack patterns were detected and reported immediately.
The sticking point at this time, however, was that I already had a remote shell with NT system rights in which I tested the detection of the „known“ malware.
Bypassing EDR
So how did i manage to get so far without triggering EDR? This was so easy that i myself didn’t even noticed what i already did.
I’ve just been using self created remote shells, so no kind of pattern machting was able to detect them.
System access was possible with gathered credentials and abusing a service running as system.
Both kept undetected by EDR.
Pattern evasion
With a reliable shell i deceided to start powershell. The strong focus on pattern recognition should help me to bypass AMSI. So i just used a heavy obfuscation and a manual approach to disable AMSI. That worked like charm on the first try.
Loading additional powershell scripts didn’t raise any alarms.
Muting EDR
For completeness I have tried to silence the EDR. This was a task of minutes! I had several options. The core idea was to stop communication to the cloud. As i had enough rights to configure Firewall or DNS Resolution i was able to block that communication. From there no more alrams even for well known tools like mimikatz have been raised. Even abusing dumped credentials from lsass for lateral moving didnt trigger any alert.
Lessons learned
Within minutes using trivial methods EDR can bei bypassed! I won’t share any details here, but you know pattern evasion has a thousand possibilities. Blocking traffic is quite simple, too.
So what can a defender do? First, really evaluate your product of choice before implementation!
Second, listen also to the quiet sounds.
Even low suspicious events may be the tip of the iceberg. Be sensible and investigate – early!
Ask yourself, how could this happen? Why don’t I see more messages?
In diesem Beitrag stelle ich ausschließlich meine persönliche Meinung als Elternteil dar. Es handelt sich hierbei um ein Privatposting und keine Veröffentlichung der Werth IT GMBH.
Elternfinanzierte 1:1-iPad- Ausstattungen an deutschen Schulen
Viele Schulen sind dabei den digitalen Unterricht voranzutreiben. Dazu setzen sie auf die privaten iPads der Schüler. Dies vornehmlich aus dem Grund, dass Schulen und Schulträger ganz überwiegend nicht über die erforderlichen Mittel verfügen, um die gesamte Schülerschaft, bzw. alle Klassen mehrerer Jahrgänge mit digitalen Endgeräten auszustatten.
Gemeinsam mit den Kollegen von Chaos macht Schule des CCC habe ich zu diesem Thema den ausführlichen Artikel „Bring your own devices an Schulen“ in der „datenschleuder Nr. 106“ veröffentlichen dürfen. Der kritische Blick auf die elternfinanzierten Geräte macht den Artikel zur Pflichtlektüre für Schulen, Schulträger, Eltern und Elternräte. In dem Artikel wird schonungslos angesprochen welche bürokratischen Hürden die Institutionen nehmen müssen und Eltern & Schüler erhalten einen ungeschönten Einblick worauf sie sich einlassen, wenn eine elternfinanzierte 1:1 iPad Ausstattung an ihrer Schule eingeführt wird.
Wie bewerten Landesdatenschutzbehörden den Einsatz von BYOD an Schulen?
Oftmals können die Schulen keine umfassende Aufklärung der Eltern leisten. Umso erfreulicher, dass sich die Landesdatenschutzbehörden bereits (eingeschränkt) zu dem Einsatz privater Geräte an Schulen geäußert haben.
Die LDI NRW hat mit Stellungnahme vom 31.10.2022 nur schulischen Geräten eine datenschutzkonforme Anwendung bescheinigt. Hingegen „sieht die LDI NRW den Einsatz privater Endgeräte nicht nur bei Lehrkräften, sondern auch bei Schülerinnen generell kritisch. … Daher kann der Einsatz privater Endgeräte – auch im Interesse der Schulen, die für die Wahrnehmung ihres Bildungsauftrags auf digitale Lösungen setzen – nur übergangsweise in Betracht kommen. … Um die hiermit verbundenen rechtlichen Unsicherheiten zu vermeiden, empfehlen wir Ihnen, alle Schülerinnen möglichst kurzfristig mit schulischen Endgeräten auszustatten und damit die dauerhafte Gewährleistung von Datenschutz und –sicherheit zu ermöglichen.“
LDI Vorgaben für eine übergangsweise Nutzung von BYOD
Den Einsatz von elternfinanzierten iPads knüpft die LDI an einige Bedingungen:
Umsetzung von technischen und oragnisatorischen Maßnahmen zur Gewährleistung des Datenschutzes der Schüler. Hier ist ein umfassendes Paket zu implementieren, um das Missbrauchspotential der totalen Kontrolle über die private iPads abzumindern.
Echte freiwillige und nachteilsfreie Wahl, so dass eine Elternfinanzierung weder direkt noch indirekt zur Sicherung der Teilhabe an der digitalen Ausbildung ist. Somit muss die Schule jedem Schüler ein Leihgerät stellen, der nicht sein privates Gerät in das MDM einbinden lassen möchte.
Aufklärung und Information der Eltern über die Einbindung der BYOD Geräte in ein schulisches MDM inklusive supervised Mode.
Jederzeitiges Widerrufsrecht.
Durch die private Nutzung der durch die Schule voll kontrollierten, gesteuerten und überwachten BYOD Geräte ergeben sich weitere zu prüfende Aspekte.
Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
Grundlegend muss jede Schule gewährleisten, dass die Anforderungen bezüglich Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllt werden. Aufgrund der unklaren Aussagen(AGBs, Handbuch) über die Erhebung und Nutzung der Daten (u.a. Telemetrie) der nutzenden Schüler*innen, erscheint es unmöglich für den Auftraggeber (Schule) hier eine den Anforderungen entsprechende Auskunft an die Nutzenden (Schüler*innen) geben zu können.
Teacher Tools und Teacher App
Ein wesentlicher Grund warum die Schulen sich für Apple und dem MDM entscheiden sind die Apple Teacher Tools in Kombination mit der MDM Teacher App.
Die Apple Classroom App aus den Teacher Tools erlaubt es einer Lehrkraft jederzeit auf den Bildschirm eines Schülers in seiner Klasse zuzugreifen.
Die Funktion „Klassenzusammenfassung“ liefert ein Aktivitäts- und Leistungsprotokoll über die Schüler in der Klasse.
Die Teacher App (https://relution.io/insights/relution-teacher) erlaubt es einer Lehrkraft Richtlinien (Ad-Hoc) für die Schüler Geräte festzulegen (https://www.youtube.com/watch?v=_r5Mxzfvy0s) . Damit kann eingeschränkt werden (optional) welche Apps, System Apps oder Webseiten zugelassen sind. Diese Profile lassen sich sogar mit der Option „Persönliches Unterrichtsprofil“ vor anderen Lehrkräften verbergen.
Apple Classroom
Die App Classroom erlaubt es einer Lehrkraft jederzeit auf den Bildschirm einer Schülerin oder eines Schülers in ihrer Klasse zuzugreifen. Dies ermöglicht eine umfangreiche und anlasslose Datenerhebung/ Überwachung der Schülerinnen und Schüler. Diese sehen nur anhand der Anzeige eines blauen Punktes am Bildschirmrand, ob die Lehrkraft gerade die Funktion „Screens der Schüler ansehen“ aktiviert hat oder nicht. Der Einzelne kann nicht erkennen, ob die Lehrkraft gerade auf seinen Bildschirm schaut oder nicht. Auch im Nachhinein werden die Schülerinnen und Schüler darüber nicht regelmäßig informiert. Diese Funktion / Vorgehensweise unterscheidet sich ganz erheblich vom analogen Unterricht, bei dem Schülerinnen und Schülern bekannt ist, wann jemand auf die eigenen Unterlagen schaut.
Dauerhafte und anlasslose Überwachungsmöglichkeit vs Art. 7 DSGVO, Erwägungsgrund 39
Es entsteht ein permanenter Überwachungsdruck und Mangel an Privatsphäre während der Bearbeitung (z.B. falls nicht abgabereife Notizen/Aufgaben der Schülerinnen und Schüler von der Lehrkraft angeschaut werden oder persönliche Daten geöffnet sind). Der bloße Verdacht, dass Schülerinnen und Schüler in der Schule digital Angelegenheiten erledigen, die als privat zu klassifizieren sind oder nicht angemessen, sollte nicht deren lückenlose Überwachung legitimieren. Die Durchführung einer dauerhaften und anlasslosen Überwachung -ohne dass es von den Schülerinnen und Schülern bemerkt wird- erscheint nicht legitim. Eine Beobachtung der Schülerleistungen per Videokamera im Klassenraum wäre ja auch nicht zulässig. Personenbezogene Daten sollten nur dann verarbeitet werden, wenn sich der Zweck (hier: sich einen Eindruck verschaffen und pädagogisch begleiten) der Verarbeitung nicht auf andere zumutbare Weise erreichen lässt (Art. 7 DSGVO, Erwägungsgrund 39).
Gefahr der Verhaltensänderung bei Schüler*innen
Die Tatsache, dass über den gesamten Schultag jederzeit unangekündigt der Bildschirm überwacht werden kann, könnte zu einem angepassten und veränderten Verhalten führen. Es besteht die Gefahr, dass die Entwicklung der Schüler nachhaltig durch die Angst vor Überwachung beeinträchtigt wird. „Die freie Selbstbestimmung bei der Entfaltung der Persönlichkeit werde gefährdet durch die Bedingungen der modernen Datenverarbeitung. Wer nicht wisse oder beeinflussen könne, welche Informationen bezüglich seines Verhaltens gespeichert und vorrätig gehalten werden, werde aus Vorsicht sein Verhalten anpassen (siehe auch Panoptismus). Dies beeinträchtige nicht nur die individuelle Handlungsfreiheit sondern auch das Gemeinwohl, da ein freiheitlich demokratisches Gemeinwesen der selbstbestimmten Mitwirkung seiner Bürger bedürfe.“ (Wikipedia). Es besteht durch die Schulpflicht für Schülerinnen und Schüler faktisch Zwang zur Nutzung von Tablets und Lernplattformen, sie müssen sich durch die Tabletnutzung der umfassenden Beobachtung ergeben und können sich ihr nicht entziehen. Das Sammeln von Daten über die Lernenden fügt negativ auswirkende Facetten hinzu. Die Lehrkräfte bekommen weitere Kontrollinstrumente an die Hand, mit denen sich umfassende Kontrolle manifestiert.
„Es muss sichergestellt sein, dass die Lehrkräfte nicht nachverfolgen können, wie lange die Schülerinnen und Schüler an den jeweiligen Dokumenten gearbeitet haben. Denn dies würde im Vergleich zum analogen Schulalltag, in dem solche Auswertungsmöglichkeiten nicht bestehen, einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler darstellen.“
Eckpunkte für den datenschutzkonformen Einsatz von digitalen Lernplattformen in den niedersächsischen Schulen (Stand: Juni 2022)
Datenschutzfragen / DSGVO Art. 15
Wie können die Nutzer in Erfahrung bringen und nachvollziehen, welche Daten wann mit der „Klassenzusammenfassung“ oder der Bildschirmeinsicht über sie erhoben wurden? Wie kann das Recht auf Auskunft (z.B. wann eine Lehrkraft Bildschirmeinsicht genommen hat) umgesetzt werden? Welche Vorkehrungen sind hierfür für das Auskunftsrecht nach Art. 15 DSGVO getroffen?
Die Teacher App erlaubt es einem Einzelnen -ohne 4 Augen Prinzip oder technischen Einschränkungen- jederzeit Richtlinien für die Geräte “seiner” Klasse zu erzeugen und diese sogar vor anderen Lehrkräften zu verstecken. Zusätzlich kann über die App jederzeit ein Unterricht gestartet werden. Jemand könnte jederzeit auf diesem Weg eine Richtlinie (ohne Einschränkungen für die SuS Geräte, um „unbemerkt“ zu bleiben) erzeugen und vor anderen Lehrkräften verbergen. Dann könnte er damit zu einem beliebigen Zeitpunkt einen Unterricht für (gezielt ausgewählte) SuS starten und direkt im Anschluss mit Apple Classroom sich Zugriff auf dessen Bildschirm verschaffen. Ob Schüler und Schülerinnen (SuS) diesen Zugriff bemerken und “verstehen” bleibt fraglich, da auf dem IPAD der SuS kein Hinweis oder eine Informationsmeldung erscheint (https://youtu.be/ZG3mmnxUW-E?t=349) .
Fragenkatalog Datenschutz BYOD iPads an Schulen
Die hier ausgewählten Beispiele zeigen den weiteren Prüfbedarf auf. Mein Paper Digitaler Unterricht – Chaosfrei? – Eine technische Risikobetrachtung gewährt einen tieferen Einblick in die Welt des Datenschutzes und der Datensicherheit inklusive Betrachtung rechtlicher und organisatorischer Fragen. Aus diesem Paper stammt die folgende Auflistung der zu betrachtenden Aspekte bei dem Einsatz von elternfinanzierten iPads an Schulen.
Gewährleistung eines freiwilligen und nachteilsfreien Angebotes (z.B. Leihgeräte) inklusive Widerrufsrecht und Aufklärung bei BYOD Geräten. Festlegung eines angemessenen Zeitraumes für eine möglichst kurzfristige übergangsweise Nutzung privater IPADs. (Kapitel 10 Punkt Bewertung LDI NRW (Auskunftsverfahren, Teilaspekte)
Ist die Gewährleistung der Anforderungen bezüglich der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO durch die Schule sichergestellt? ( Kapitel 10 Datenschutz Problematiken Punkt 1)
Es ist zu prüfen, ob die Funktionen der Apple Teacher Apps wie die Classroom Funktion „Viewing Students Device Screen“ datenschutzkonform auf privaten und Leihgeräten genutzt werden können. Insbesondere in Kombination mit den Möglichkeiten der Relution Teacher App ist der Datenschutz für SuS zu gewährleisten. Zudem ist zu prüfen, ob die Erhebung der Aktivitäts- und Leistungsdaten durch Apple Schoolwork/Classroom zulässig ist. (Kapitel 5 Apple Teaching Tools )
Existieren Regelungen und Dienstanweisungen wann und wie Lehrkräfte die Möglichkeiten der Tools nutzen dürfen/können? Beispielsweise: ● Darf eine Lehrkraft Screenshots von dem Bildschirm eines Schülers anfertigen? Falls ja, unter welchen Voraussetzungen? ● Wann darf eine Lehrkraft den Bildschirminhalt eines Schüler IPADs auf die Tafel / Bildschirm spiegeln? Muss/Kann der Schüler zuvor zustimmen? Welche Voraussetzungen sind zu erfüllen, damit keine Inhalte angezeigt werden, die der Schüler nicht teilen möchte? (Kapitel 5 Apple Teaching Tools )
Wie können die Nutzer in Erfahrung bringen und nachvollziehen, welche Daten wann mit der„Klassenzusammenfassung“ oder der Bildschirmeinsicht über sie erhoben wurden? Wie kann das Recht auf Auskunft (z.B. wann eine Lehrkraft Bildschirmeinsicht genommen hat) umgesetzt werden? Welche Vorkehrungen sind hierfür für das Auskunftsrecht nach Art. 15 DSGVO getroffen? (Kapitel 5 Apple Teaching Tools )
Gewährleistung, dass bei ein Auftragsverarbeiter einer öffentlichen Einrichtung (Schule) keinerlei persönlichen Daten der Nutzenden für eigene Zwecke verwendet wird – wie jedoch in den Apple AGBs angegeben. ( Kapitel 10 Datenschutz Problematiken Punkt 2)
Vor dem Hintergrund der Datenkommunikation mit Servern eines US-Herstellers ist der Schutz aller Daten der Kinder vor unberechtigtem Zugriff durch Dritte sicherzustellen. „Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten.“. (ITMediaLaw) ( Kapitel 10 Datenschutz Problematiken Punkt 2)
Existiert ein (unabhängiger) Nachweis, dass die notwendigen TOMs (Change Management vorhanden? ; Teacher App & Classroom Zugriff) wirkungsvoll für die tatsächliche Infrastruktur (shared Server?) implementiert sind? (Mehrere Kapitel verweisen auf notwendige TOMs)
Es ist zu prüfen, ob der Einsatz der Plattform Office 365 und deren Apps datenschutzkonform ist, da diese Plattform in der Schule verwendet wird und deren Apps automatisch durch die Schule aufgespielt werden. (Kapitel 9 Risiko von durch die Einrichtung installierten Apps )
Was kann man als Betroffene tun?
Oftmals ist die Aufklärung durch die Institution unzureichend und die Angst vor Nachteilen, wenn man nicht „mitzieht“, ist groß. Der Druck auf die Schüler ist ebenfalls nicht zu leugnen, da ja „alle“ mitmachen und weder Eltern noch Schüler verstehen was da genau auf einen zu kommt und welche Optionen einem eigentlich zustehen. Nicht immer ist die Kommunikation mit der Schule zu diesem Punkt einfach und man kann schnell eine gemeinsame Lösung finden.
Ob diese Art der Kommunikation strategisch ist, lässt sich nicht mit Sicherheit beantworten. Allerdings spricht die Empfehlung des Medienzentrums Cloppenburg für sich.
In solchen Fällen findet jeder Betroffene (Eltern oder Schüler) Hilfe bei seiner zuständigen LDI. Dort kann man mit eine formlosen E-Mail eine Anfrage/Beschwerde einreichen. Dies ist jederzeit möglich – sowohl VOR der Einführung als auch DANACH. Wie hier dargestellt existieren Auflagen für einen BYOD Einsatz und mehrere kritische Punkte sind zum jetzigen Zeitpunkt noch ungeklärt.
Eine Inspiration für eine solch formlose Anfrage stelle ich in meiner Vorlage bereit. Diese Vorlage stellt keine juristische Beratung oder Dienstleistung dar und ist meine rein private und subjektive Sicht der Dinge.
In der Vorlage ist der Kontakt zu der LDI NRW enthalten, andere LDI sind eigenständig im Internet zu suchen (postestelle@xyz ist ausreichend). Die Vorlage ist auf die persönliche Situation anzupassen und stellt nur eine Inspiration dar.
Im zweiten Teil der Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.
SAP Netzwerksicherheit
SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.
Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:
PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)
Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.
Ohne parlamentarische Anhörung hat der US-Kongress Ende März 2018 mit dem „Cloud Act“ ein Gesetz verabschiedet, dass Dienstleister ungeachtet des physischen Server Standorts die dort gespeicherten Kundendaten herausgeben müssen.
Damit stellt die US-Regierung US-Recht über das geltende Recht des Landes in dem die Daten physikalisch gespeichert sind.
Auslöser
Einer der Auslöser für diesen Beschluss war der Streit zwischen Microsoft und den US-Behörden. Der US-Supreme Court hat sich bereits mit diesem Fall beschäftigt und für dieses Jahr wurde mit einem Urteil gerechnet.
Im Kern war zu entscheiden ob Microsoft E-Mails von einem in der EU betriebenen Server herausgeben muss. Mit dem in Kraft treten des neuen Gesetzes hat der Supreme Court den Fall nun für erledigt erklärt.
Damit ist bereits die erste Anwendung nach dem Neuen Gesetz auf dem Weg und Microsoft ist verpflichtet die angeforderten Daten herauszugeben.
Der Cloud Act und seine Folgen – Daten(un)sicherheit
Der Justiziar Neema Singh Guliani der US-Bürgerrechtsorganisation American Civil Liberties Union (ACLU) hat wesentliche Datenschutz-Probleme in dem Gesetz erkannt:
For the first time, the bill allows foreign governments to wiretap and intercept communications in real-time, without even requiring governments to adhere to critical privacy protections in the Wiretap Act (such as notice, probable cause, or a set duration); and
The bill permits broad information sharing between governments, allowing countries (including the U.S.) to obtain information from foreign partners under standards that may be lower than their own domestic law.
Auch die Electronic Frontier Foundation (EFF) warnt vor dem Cloud Act:
Grants real-time access and interception to foreign law enforcement without requiring the heightened warrant standards that U.S. police have to adhere to under the Wiretap Act.
Fails to require notice on any level – to the person targeted, to the country where the person resides, and to the country where the data is stored. (Under a separate provision regarding U.S. law enforcement extraterritorial orders, the bill allows companies to give notice to the foreign countries where data is stored, but there is no parallel provision for company-to-country notice when foreign police seek data stored in the United States.)
Ein Abhören von Zielpersonen ist damit deutlich vereinfacht, ebenso gibt es nahezu keine Informationspflichten mehr.
Für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen, bedeutet dies ein mögliches Scheitern der DSGVO-Compliance. Denn hier können Dritte auf Daten zugreifen. Noch etwas weiter gedacht wird klar, dass US-Behörden nach eigenem Ermessen auf sämtliche Daten eines Unternehmens zugreifen können, die bei dem US-Dienstleister gespeichert sind. Dazu können auch Geschäfts- und Betriebsgeheimnisse sowie Informationen zu den getroffenen IT-Sicherheitsmaßnahmen oder bekannten Cyber-Schwachstellen zählen.
Auswege
Ein möglicher Ausweg könnte der Einsatz eines „Datentreuhändlers“ sein. So betreibt beispielsweise T-Systems als Dienstleister den Cloud-Dienst für Office 365 Deutschland. Doch ob diese Konstellation Zugriffswünsche wirkungsvoll eindämmt ist nur schwer vorherzusagen.
Besonders brisant wird es für Unternehmen die IT-Sicherheitsdienstleistungen wie Schwachstellenmanagement an US-Anbieter vergeben haben. Überspitzt gefragt kann man sagen: Wer möchte schon seine Schwachstellen frei Haus an die NSA liefern?
Zur eigenen Sicherheit muss hier hinterfragt werden ob es nicht einen EU-Anbieter mit Datenspeicherung in der EU als Alternative gibt.
Der Markt bietet hier einige Alternativen – teils sogar Lösungen die ausschließlich innerhalb der Unternehmens-IT arbeiten und keine Daten in die Cloud oder zum Anbieter übertragen.
Der werthAUDITOR ist eine solche Lösung und prüft IT- und SAP-Systeme auf Schwachstellen und die Daten bleiben dabei garantiert in der sicheren Unternehmens-IT.
Der Cloud Act trägt deutlich die Handschrift der „America First“ Initiative und sollte zum Nachdenken anregen welche Daten wie und wo sicher gespeichert und verarbeitet werden. Idealerweise verlassen sensible Daten gar nicht erst das eigene Unternehmen.
Jeder der sich mit IT-Security beschäftigt hat früher oder später den Satz „100%ige IT-Sicherheit gibt es nicht“ zu hören bekommen.
Viele Experten teilen diese Aussage und die öffentlichen Berichte über erfolgreiche Cyber-Angriffe können ebenso als Beleg für diesen Satz angesehen werden.
Für einen bestmöglich Schutz empfiehlt es sich daher neben der kontinuierlichen Überwachung der Systeme das verbleibende Restrisiko mittels einer Cyber-Versicherung abzusichern.
Das Thema Cyber-Risk-Insurance behandelt eine noch recht junge Versicherungssparte und ist noch nicht allgegenwärtig bekannt.
Um den Einstieg zu erleichtern und die richtige Entscheidung treffen zu können finden Sie in unserer neuesten BSI-Publikation „Cyber-Risk-Insurance Einstiegsübersicht“ eine Übersicht zu dem Thema und Empfehlungen zur Auswahl einer Cyber-Risk-Versicherung.
Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.
Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.
Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.
Killswitch?
Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.
Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.
Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.
Der weitere Ausblick
Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:
Der Killswitch funktioniert nicht wie erwartet
Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
*Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.
Gegenmaßnahmen
Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.
Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.
Anmerkungen
Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:
Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.
Auswirkung auf SAP-Systeme
Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:
Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.
Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?
Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.
Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.
Backdoors im Programmcode von IT-Sicherheitslösungen
Im Dezember 2015 wurden schwerwiegende Backdoors in den Netscreen Firewall-Systemen von Juniper entdeckt. Bei einer internen Code-Prüfung wurde unautorisierter Code in dem ScreenOS Betriebssystem der Juniper Systeme entdeckt.
Ein seit 2012 eingeschleustes Code-Segment erlaubt die Entschlüsselung jeder VPN-Datenkommunikation der Firewall. Damit ist eine geheime Kommunikation über diese Geräten nicht möglich. Jede als sicher betrachtete Kommunikation konnte seit 2012 belauscht werden. Entsprechend konnten geheime Informationen und Zugangsdaten abgefangen werden. Diese Lücke beruht auf eine von der NSA forcierte Backdoor.
Folgen einer solch gezielt platzierte Schwachstelle werden an dem Beispiel des Falls Belgacom sehr deutlich. Entsprechend feuern diese neuen Backdoors in den Juniper-Geräten auch Spekulationen über den Einfallsvektor bei Belgacom neu an.
Ein weiteres Backdoor Code-Segment kann bis ins Jahr 2013 zurückdatiert werden. Dieses gewährt unautorisierten Root-Zugriff auf die Firewall System aus dem Internet. Dies bedeutet, dass JEDER mit Wissen über diese Backdoor über das Internet Vollzugriff auf die Systeme erhalten kann. Damit kann er Einstellungen verändern (Zugänge öffnen), Protokolle ansehen und Datenverkehr mitlesen.
Kurz nach bekannt werden der Schwachstelle waren ca. 26.000 verwundbare Systeme im Internet mit einer einfachen Shodan Sucheauffindbar.
Woher stammen die Backdoors?
Bisher kann der Firewall-Hersteller nicht erklären woher der Code stammt und wie die Backdoors ihren Weg durch die Qualitätskontrollen in die Release-Versionen finden konnten.
Unbestrittener Fakt ist jedenfalls, dass hier eine Backdoor in Kern-Systeme der IT-Sicherheit eingeschleust wurden und Endkunden statt der erwarteten höheren Sicherheit defacto angreifbarer wurden.
Sind doch die Hürden für einen Geheimdienst in einem Land mit starken Befugnissen für Geheimdienste (wie USA, Russland, China, Iran,…) sehr Gering. Entweder kann das Unternehmen direkt gesteuert werden oder es reicht aus die richtigen Mitarbeiter zu „akquirieren“. Diese dürfen natürlich nicht über Ihre Aktivitäten sprechen. Wie schwer es ist gegen einen solchen Maulkorb vorzugehen zeigt dieses Beispiel.
Was kann man nun zum Schutz seiner Daten beachten?
Wenn man eine Schlussfolgerung aus den neuen Veröffentlichungen ziehen kann, dann die Standortbedeutung Herstellers. Dies verdeutlicht wie wichtig Gütesiegel wie „Made in Germany“ sind.
Der aktuelle Fall zeigt deutlich, dass blindes Vertrauen in Security-Produkte schwere Schäden nach sich ziehen kann. Nicht nur durch gezielte Spionage-Aktivitäten, sondern auch nach einem öffentlichen Bekanntwerden durch frei zugängliche Exploits.
Entsprechend lassen sich hieraus auch Handlungsempfehlungen für den Schutz von SAP-Systemen ableiten.
Gerade beim Schutz des digitalen Herzstücks eines Unternehmens darf der Herstellerstandort nun nicht mehr außer acht gelassen werden. Wie der Fall Juniper gezeigt hat ist dies nicht als Paranoia abzutun sondern eine inzwischen erforderliche Maßnahme.
Das Herkunftsland ist somit ein wichtiger Bewertungsfaktor bei der Auswahl von Sicherheitslösungen.
Sicherheitsforscher der Firma TrapX haben kürzlich einen hoch präzisen Angriff auf ERP Systeme aufdecken können.
Die Angriffe konnten zur Lanxiang school (China) zurück verfolgt werden. Diese Universität hat bereits durch frühere Angriffe auf Google und Co. eine zweifelhafte Bekanntheit erreicht. Im Rahmen des Angriffs konnten die ERP Systeme zu 100% unter Kontrolle gebracht werden. Somit war ein Zugriff auf Finanzdaten und weitere kritische Unternehmensdaten ohne Einschränkung möglich.
Der Angriff selbst liest sich wie aus einem Hollywood-Film. Alle betroffenen Firmen haben Scanner derselben Chinesischen Firma für den Einsatz im Lager/Versand/Wareneingang angeschafft. Später stellte sich heraus, dass auf dem Embedded Windows Betriebssystem der Scanner ein Schadproramm ( Zombie Zero ) vorinstalliert war. Dieses hat nach Aktivierung der Scanner von Innen heraus das Netzwerk des Unternehmens anhand spezifischer Merkmale nach ERP-Finanz-Systemen durchsucht und diese kompromittiert.
Im zweiten Schritt wurde dann ein erweitertes Schadprogramm zur Kontrolle und Kommunikation mit dem ERP-System auf diesem nachgeladen. Diese Verbindungen konnten zur Lanxiang school verfolgt werden.
Letztlich konnte diese Verbindung genutzt werden um alle Finanz- und ERP-Daten abfließen zu lassen.
Abschließend lässt sich sagen, dass durch die Integration der Schadsoftware in ein “vertrauenswürdiges” Produkt ein Angriff von Innen möglich wurde. Moderne Angreifer müssen somit nicht länger die Unternehmensfirewall überwinden oder auf erfolgreiche Phishing-Emails hoffen. Schadprogramme werden einfach in Hardware eingepflanzt. Laut TrapX haben selbst die bei den betroffenen Firmen eingesetzten traditionellen Sicherheitsvorkehrungen wie ein IDS den Angriff nicht stoppen oder erkennen können.
Man benötigt hier einen alternativen Ansatz um potentiellen Schaden abzuwenden. Dieser besteht in der kontinuierlichen Sicherheitsüberprüfung der ERP Systeme. So lassen sich Risiken und Schwachstellen frühzeitig erkennen, priorisieren und beheben bevor Angreifer diese Ausnutzen können.
Wir bieten Ihnen mit unserem Werth Auditor die Möglichkeit Ihr ERP-System auf Herz und Nieren zu prüfen. Jedes potentielles Risiko wird erfasst und bewertet. Eine Prüfung auf Gefahren für Ihr ERP-System durch Gastzugänge, seitens der SAP-Anwender oder über VPN-Kanäle ist mit unserer Lösung aus jedem Winkel Ihres Netzwerks möglich. Kontaktieren Sie uns für eine kostenlose Testversion.
Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat unter der Führung von VizeKanzler Sigmar Gabriel schon länger die Bedeutung der Informations- und Kommunikationstechnologien (IKT) als wichtige Treiber von Innovation und Wachstum in
Deutschland erkannt.
In Zeiten täglich neuer Aufdeckungen im Bereich Computerspionage und aktiver
Wirtschaftsspionage durch ausländische Geheimdienste hat das BMWi ein Förderprogramm zur IT-Sicherheit beschlossen, um dem Risiko von Datenmissbrauch, Computersabotage oder
dem unentdeckten Abfluss von UnternehmensKnowHow für deutsche Unternehmen zu
begegnen. In dem Gründerwettbewerb ITK Innovativ wurden daher Lösungen gesucht, die sich
am konkreten Bedarf und den finanziellen Möglichkeiten betroffener Unternehmen orientieren.
Auf der diesjährigen CEBIT wurde der Sonderpreis an die Werth IT für deren Produkt
Werth Auditor vergeben. Der Werth Auditor ist eine Softwarelösung zur Beurteilung der
Sicherheit von SAP Systemen. Ein SAP System ist oftmals das digitale Herzstück eines
Unternehmens und wird zur Planung und Durchführung kritischer Geschäftsprozesse genutzt. In
solchen ERP-Systemen sind alle Daten und Know-How des Unternehmens wiederzufinden.
Das nicht ein mal 1 Jahr “junge” Kamener Unternehmen trifft mit ihrem Werth Auditor den Nerv
der Zeit, bereits im vergangenen Jahr wurde dieser in die TOP Ten beim
TeleTrusT-Innovationspreis 2013 gewählt. Inzwischen zeigen nationale und internationale
Wirtschaftsgrößen intensives Interesse an dem Produkt. Der Werth Auditor zählt bereits kurz
nach seiner Markteinführung zu den weltweit technologisch führenden SAPSecurity-Lösungen.
Über Werth IT
Die Werth IT GmbH verfügt über führendes Know How in den Bereichen Softwareentwicklung,
ITSicherheit und Mediendesign.
Mit diesem Know How und langjähriger Erfahrung in diesen Bereichen ist mit dem Werth Auditor
eine einzigartige Sicherheitslösung für SAP Systeme entwickelt worden, die bereits 2013 für den
TeleTrusTInnovationspreis 2013 nominiert wurde.
Die Software Werth Auditor überprüft die ITSicherheit von SAPSystemen. Untersucht werden
die vergebenen Nutzerberechtigungen, die Einhaltung von ITSicherheitsvorgaben, die
Systemkonfiguration, die Datenintegrität und die Anfälligkeit gegenüber Hackerangriffen. Eine
PluginSchnittstelle erlaubt außerdem die schnelle und einfache Erweiterung der Tests.
Ergebnis der Auswertung ist ein Bericht, der zu jedem ermittelten Risiko konkrete Maßnahmen
zur Lösung des Problems nennt. Als Zielkunden fasst Werth Auditor Unternehmen mit
SAPSystemen ins Auge sowie Systemhäuser, ITDienstleister und Wirtschaftsprüfer, die mitdem Tool ihren Unternehmenskunden helfen, sichere SAPSysteme zu betreiben.
„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“
– Bitkom-Präsident Achim Berg
Die repräsentative Studie der Bitkom stellt die digitale Sicherheit der deutschen Wirtschaft in Zahlen dar:
So sind von 2015 bis 2017 53% der deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden. Dabei ist ein Schaden von 55 Milliarden Euro entstanden.
Die Täter sind dabei vornehmlich (ehemalige) Mitarbeiter, aus dem unternehmerischen Umfeld oder Hacker. Die Verfolgung der Angriffe führte hauptsächlich nach Deutschland, dem Osten (Osteuropa, China, Russland) sowie in die USA.
Jeder dritte Angriff wurde dabei nur zufällig entdeckt, ein weiteres Drittel von aufmerksamen Mitarbeitern bemerkt.
Vornehmlich aus Angst vor Imageschäden (41%) verzichten 69% der betroffenen Unternehmen auf die Einschaltung staatlicher Stellen.
Zum jetzigen Zeitpunkt nutzen viele Unternehmen nur Basisschutzmaßnahmen wie Passwörter, Firewalls und Virenscanner. Dabei existieren seit Jahren Angriffswerkzeuge die mühelos Virenscanner und Firewalls umgehen. Auch Passwörter stellen moderne Werkzeuge vor keine große Herausforderung.
Eine wirksame Kontrolle der eigenen Sicherheitsmaßnahmen durch externe Spezialisten führen nur 24% der Unternehmen durch.
Die Studie zeigt somit klar, dass in Zeiten von Digitalisierung und Industrie 4.0 die deutsche Wirtschaft besonderes Augenmerk auf die Abwehr von Spionageangriffen wird richten müssen.
Dies hat auch Gartner erkannt und entsprechend in seinem aktuellen Hype Cycle 2017 als absoluten Top Trend Application Security ausgerufen. Dies ist auch gut nachvollziehbar, da doch die in der Studie betrachteten Punkte Datendiebstahl, Industriespionage oder Sabotage eben meist die Systeme betreffen, welche die unternehmenskritischen Geschäftsprozesse verarbeiten. Eben die ERP-Systeme als business critical applications.
Die Studie hat den Nachholbedarf dort aufgezeigt und Gartner erkennt den Trend in der Wirtschaft hier nachzubessern.
Gerne unterstützen wir Sie bei der Sicherung Ihrer Kerndaten, sprechen Sie uns an!