IT-Sicherheit

Warnung vor gefährlichen E-Mails ("Emotet")

Aktuelle Sicherheitswarnung zu „Emotet“ 5.12.2018 - eine neue Dimension der Bedrohung

Die allgegenwärtige Bedrohung durch Spam/Phishing-Mails bekommt eine neue Dimension. „Emotet“ kombiniert die Methode der Spamverteilung „Spear-Phishing mit Methoden des Social Engineering“ mit gefährlicher Schadsoftware (Advanced Persisten Threads APT).

Nach der Infektion eines Zielsystems ist Emotet in der Lage, das Outlook-Addressbuchs des Opfers auszulesen und sich selbst per Spear-Phishing weiter zu verbreiten. Neuerdings liest es auch die E-Mails des Opfers (Outlook-Harvesting) und nutzt die Inhalte, um authentisch aussehende Spear-Phishing-Mails zu erzeugen (Social Engineering). Dann verschickt es im Namen des Opfers über dessen echte E-Mail-Adresse sich selbst an die gespeicherten Kontakte.

Darüber hinaus ist Emotet in der Lage, weitere Schadsoftware je nach Bedarf und Absicht des Angreifers nachzuladen und sich dadurch dauernd zu verändern. Beobachtet wurde bisher insbesondere, aber nicht nur, der Banking-Trojaner „Trickbot“. Dieser kann sich selbsständig von einem infizierten Rechner als Wurm im befallenen Netzwerk weiter ausbreiten, auch ohne den weiteren Versand von Spam-Mails.

Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor.

Ein einzelner infizierter Rechner kann somit das komplette Netzwerk einer Organisation infizieren und lahm legen. Laut BSI sind bereits mehrere solcher Vorfälle vorgekommen.

Infizierte Systeme sind daher sofort durch Ziehen des Netzwerk-Steckers vom Netz zu trennen und sind grundsätzlich als vollkommen kompromittiert zu betrachten. Sie müssen daher komplett neu ausgesetzt werden. Melden Sie sich keinesfalls als Administrator an einem infizierten Rechner an, da sich der Wurm ansonsten mit ihren Administrator-Rechten weiter verbreiten kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bittet um Meldungen aller Vorfälle und empfiehlt eine Strafanzeige bei der Polizei. Tun Sie dies bitte nicht selber, sondern informieren Sie uns über mailto:gitz-it-sicherheit@tu-braunschweig.de oder über den IT-Service-Desk.

Weiter führende Informationen:

von der Allianz für Cyber-Sicherheit empfohlene Maßnahmen

Behandlung bereits infizierter Rechner

Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?

  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
  • Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
  • Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
  • Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
  • Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
  • Melden Sie den Vorfall - ggf. anonym - beim BSI. Diese Informationen sind Voraussetzung für ein klares IT-Lagebild und für eine frühzeitige Warnung potenziell später Betroffener durch das BSI von zentraler Bedeutung. Tun Sie dies nicht selbst, sondern informieren Sie uns über den IT-Service-Desk oder unter mailto:gitz-it-sicherheit@tu-braunschweig.de!
  • Stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland. Tun Sie dies nicht selbst, sondern informieren Sie uns über den IT-Service-Desk oder unter mailto:gitz-it-sicherheit@tu-braunschweig.de!
  • Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des „Stillstands“ sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) - Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
  • Proaktive Information von Geschäftspartnern/Kunden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!

ECSM

Die Informationen zum IT-Sicherheits-Aktionsmonat „ECSM 2018“ finden Sie hier: Informationen zum ECSM 2018

Die Informationen zum IT-Sicherheits-Aktionsmonat „ECSM 2017“ finden Sie hier: Informationen zum ECSM 2017 und im TU-Magazin.

Die Informationen zum IT-Sicherheitsmonat „ECSM 2016“ finden Sie hier: Informationen zum ECSM 2016 und im TU-Magazin (Direktlink zum Artikel).

Die allgemeine Startseite für IT-Sicherheitsinformationen des GITZ ist http://it-sicherheit.tu-braunschweig.de/, es gibt dort unter anderem Kurztipps mit „Goldenen Regeln“ und einer Sammlung empfohlener Alternativen zu verbreiteten Online-Diensten für Angehörige der TU Braunschweig sowie Tipps zur Passwort-Sicherheit.

Material für IT-Sicherheits-Aktionen

Für eigene IT-Sicherheits-Aktionen können DV-KoordinatorInnen Unterstützung vom GITZ erhalten:

Mousepads

In den PC-Pools des Gauß-IT-Zentrums sind Mousepads mit hintersinnigen Sprüchen zur IT-Sicherheit ausgeteilt. Die Auflösung dazu findet sich hier: IT-Sicherheitssprüche mit Hintersinn. Interessierte DV-Koordinatoren, die diese Mousepads ebenfalls verwenden wollen, wenden sich bitte an den IT-Service-Desk.

Passwordkarten

Unsere Passwortkarten können Sie (ein Paar pro Person) im IT-Service-Desk erhalten. Größere Mengen für Aktionen sind nur nach vorheriger Absprache erhältlich, da der Druck der Karten aufwendig und relativ teuer ist. Melden Sie Ihren Bedarf bitte per E-Mail an gitz-it-sicherheit@tu-braunschweig.de an.

Awareness-Plakate

Um das Thema IT-Sicherheit im Bewusstsein zu halten, stehen ebenfalls verschiedene Awareness-Plakate zur Verfügung. Die Sprüche darauf sind weitgehend selbsterklärend, aber trotzdem bieten wir natürlich weitere kurze Erläuterungen dazu hier: Inhalte Awareness-Plakate.

Die Awareness-Plakate können jederzeit genutzt werden, interessierte DV-KoordinatorInnen wenden sich bitte an den IT-Service-Desk.

Vorträge

Das GITZ stellt die Vorträge aus der Veranstaltung „IT-Sicherheitstipps für AnwenderInnen“ als PDF zur Verfügung:

Außerdem hat die DFN-CERT Services GmbH freundlicherweise den Vortrag „IT-Forensik für den Hausgebrauch“ zur Verfügung gestellt, allerdings ausschließlich für den Hochschul-internen Gebrauch:

  1. IT-Forensik für den Hausgebrauch (PDF)(nur intern) (Dipl.-Inform. Klaus Möller (Senior Consultant), DFN-CERT Services GmbH, Hamburg) ( Video (FullHD, 7.4 GB), (nur im TU Netz))

IT-Sicherheits-Empfehlungen

Gemeinsame Empfehlungen der DV-Koordinatoren und des Gauß-IT-Zentrums zu ausgewählten Themen der IT-Sicherheit und guter Arbeitspraxis

In diesem Bereich werden die von den DV-Koordinatoren und dem Gauß-IT-Zentrum gemeinsam im Rahmen einer Arbeitsgruppe als besonderes wichtige erachteten Hinweise zur Praxis guter und sicherer Arbeitsweisen im IT-Umfeld zusammengestellt. Die Idee, sich weiter mit dem Thema auseinander zu setzen und eine Handreichung für alle DV-Koordinatoren zu erarbeiten, wurde im Rahmen einer Veranstaltung für DV-Koordinatoren zum Thema IT-Sicherheit im Dezember 2014 entwickelt.

Ziel ist es, in verschiedenen Workshops das Thema IT-Sicherheit regelmäßig aufzugreifen, um eine Sammlung wichtiger Themen gemeinsam zu erarbeiten. Im Laufe der Zeit sollen die so entstandenen Dokumente immer wieder überarbeitet und inhaltlich weiterentwickelt werden. So kann im Laufe der Zeit durch die DV-Koordinatoren ein gemeinsamer, an der TU Braunschweig weitgehend anerkannter IT-Sicherheits-Katalog mit praxisnahen Richtlinien und Empfehlungen entstehen.

Motivation

Institute und Einrichtungen dürfen IT eigentverantwortlich betreiben und sind daher auch in der Lage und in der Pflicht, die Nutzer in Hinblick auch auf IT-Sicherheit zu informieren und zu schulen. IT-Sicherheit ist nicht nur ein technischer Prozess, eine bestimmte Software – Sicherheit steht und fällt auch mit der Aufmerksamkeit und Achtsamkeit der Nutzer. Aus diesem Grunde haben DV-Koordinatoren und Gauß-IT-Zentrum in gemeinsamen Arbeitsgruppen diesen Grundstock für praxisnahe Richtlinien und Empfehlungen aus dem Bereich IT-Sicherheit erstellt.

Grundsatzüberlegungen IT-Sicherheit

IT-Sicherheit ist keine Sache der einmaligen Einrichtung, es ist ein laufender Prozess. Daher muss sich jeder Nutzer immer wieder fragen:

  1. Welche Folgen hätte es, wenn die Daten von diesem Gerät in fremde Hände gelangen würden und welche Maßnahmen kann ich treffen, um dies zu verhindern?
  2. Welche Konsequenzen hätte es, wenn wichtige Daten auf diesem Gerät verändert würden, sei es durch böse Absicht oder auch durch technische Fehler und was kann ich dagegen tun?
  3. Was würde geschehen, wenn dieses Gerät plötzlich ausfiele und wie kann ich dem vorbeugen bzw. die Folgen vermindern?

Aus diesen grundsätzlichen Überlegungen leiten sich eine Reihe von Dingen ab, die Sie als Nuzter oder Betreiber von IT in der Hand haben, um die IT-Sicherheit zu erhöhen. In den folgenden Abschnitten finden Sie konkrete Handreichungen zu dem Thema.

IT-Sicherheitsempfehlungen im Schnelldurchgang (für alle BenutzerInnen)

Empfehlungen für Nutzer und Administratoren

E-Mail

Internet allgemein

Passwörter

Verschlüsselung und Mobilgeräte

Verbreitete Sicherheitsirrtümer

Erweiterte IT-Sicherheitsempfehlungen für IT-Administratoren

Weitergehende Informationen

Auf dieser Seite finden Sie die gemeinsame Empfehlungen der DV-Koordinatoren und des Gauß-IT-Zentrums zu ausgewählten Themen der IT-Sicherheit und guter Arbeitspraxis, wie sie im Rahmen einer Arbeitsgruppe als besonderes wichtige erachteten Hinweise zur Praxis guter und sicherer Arbeitsweisen im IT-Umfeld zusammengestellt wurden. Die Idee, sich weiter mit dem Thema auseinander zu setzen und eine Handreichung für alle DV-Koordinatoren zu erarbeiten, wurde im Rahmen dieser Veranstaltungen für DV-Koordinatoren zum Thema IT-Sicherheit geboren. In dessen Folge wurde in verschiedenen Workshops das Thema IT-Sicherheit aufgegriffen, um den Grundstein für eine stetig wachsende und fortlaufend weiterentwickelte Sammlung wichtiger IT-Sicherheitsthemen gemeinsam zu erarbeiten. Ziel ist es, im Laufe einiger Iterationen durch die DV-Koordinatoren einen gemeinsamen, an der TU Braunschweig weitgehend anerkannten Katalog mit praxisnahen Richtlinien und Empfehlungen aus dem Bereich IT-Sicherheit entstehen zu lassen.

Externe Quellen

Insbesondere auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden sich viele weitergehende, konkrete und ausführliche Informationen zur Konfiguration von Endgeräten und vielen weiteren Themen rund um IT-Sicherheit.

Besonders hingewiesen sei auf die folgenden Seiten bzw. Dokumente:

allgemeine IT-Risiken und Tipps (BSI)

Empfehlungen des BSI

Um Mitarbeit wird gebeten

it-sec/it-sec.txt · Zuletzt geändert: 2018/12/06 10:36 von chrboett
Gau-IT-Zentrum