IT-Sicherheit

Rogges Rat – IT-Sicherheit für Anwender

Terrorist working on his computer. Concept about international crisis, war and terrorism

Marko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namhafte Konzerne. Teile seiner Ausbildungsinhalte erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Seit Anfang 2016 arbeitet er als „Leiter IT-Forensics & Investigations Lab“ bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite mobile Forensiker. Marko Rogge arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch, fachspezifisch im Bereich mobile Forensik, Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden sowie von Zoll- und Steuerfahndungseinheiten.

WARUM WANNACRY & CO. SO ERFOLGREICH WAREN UND WAS WIR DARAUS LERNEN SOLLTEN

Der Schädling WannaCry beschäftigte IT-Systemadministratoren auf der ganzen Welt viele Tage. Laut Medien sollen ca. 230.000 Computer weltweit betroffen gewesen sein. WannaCry ist eine von vielen Schädlingen, die der Ransomware zugeordnet werden. Diese Schädlinge verschlüsseln nach dem erfolgreichen infizieren alle vorhandenen Daten und erpressen Lösegeld, wenn man die Daten wieder lesbar haben möchte.

Dies funktioniert allerdings nicht in allen Fällen, warum viele auch nicht zahlen und auf Backups zurückgreifen. Bei vielen Unternehmen konnte der Schaden hierdurch niedrig gehalten werden. Der Schädling hatte eine durchaus perfide Routine integriert, durch die es ihm möglich war, sich selbständig im betroffenen Netzwerk weiter auszubreiten, ohne das ein Nutzer noch irgendetwas anklicken musste.

Möglich wurde das, weil WannaCry eine Lücke im Windows System ausgenutzt hat. Seitens Microsoft lag hierfür bereits ein Patch vor, durch den die Lücke im SMB Dienst (MS17- 010) geschlossen gewesen wäre. Hätten also alle betroffenen Systeme diesen Patch installiert bekommen, wäre das Desaster gar nicht erst eingetreten.

Viele Unternehmen betreiben ein Patch-Management. Dabei werden häufig die anstehenden Patches erst auf Testsystemen installiert um sicherzustellen, dass laufende Systeme nicht gefährdet werden. Dies erfordert selbstredend Zeit und genau in dieser Zeit schlug der Schädling zu.

Es ist schlichtweg falsch, mit dem Finger auf System-Administratoren zu zeigen, sondern vielmehr darüber nachdenken, wie man es besser machen könnte. Sofern es machbar ist, was dringend geprüft werden sollte, wäre es sinnvoll, die Zeit zum Einspielen von Patches zu reduzieren.

Im Falle des Schädlings WannaCry war die Ruhe vor dem Sturm nur von kurzer Dauer, da tauchte bereits ein Ableger von WannaCry auf; EternalRocks. Dieser Schädling nutzt nach Meinung einiger Experten gleich sieben Sicherheitslücken aus, die aus dem Leak der „ShadowBroker“ stammten. In dem Leak wurden ausnutzbare Sicherheitslücken, sogenannte Exploits der NSA veröffentlicht.

Während jedoch WannaCry Daten verschlüsselte, war EternalRocks darauf bedacht, Daten zu löschen. Die Diskussion um Exploits wurde erneut entfacht und viele äußerten, dass weder Geheimdienste noch kriminelle Hacker so etwas besitzen dürfen.

In der Vergangenheit sind mehrere solcher Exploits immer wieder veröffentlicht worden, jedoch hat z.B. Microsoft recht zügig einen Patch zur Verfügung gestellt, im Falle von WannaCry ca. 4 Wochen nach bekannt werden.

Wie kann man sich nun vor derartigen Angriffen schützen? Grundsätzlich entscheidend ist, dass man das Patch-Management kritisch betrachtet und Patches so schnell als möglich einspielt. Im Weiteren ist es unabdingbar, dass man täglich Backups durchführt, um im Schadensfall auf aktuelle Daten zurückgreifen kann. Häufig kommen Schädlinge wie z.B. WannaCry als Phishing-Mails rein und ein Benutzer muss einen Link anklicken oder einen Anhang öffnen.

Hier ist es entscheidend, dass man als Anwender selbst skeptisch bleibt und hinterfragt, ob man den Anhang angefordert hat und warum man etwas anklicken soll. Sind die Zweifel groß, kann man zudem auch den Absender anrufen und hinterfragen, ob dieser auch wirklich die E-Mail gesendet hat.

Schlussendlich kann in den meisten Fällen eine Firewall oder ein Virenscanner das bekämpfen, was sie kennen. Exploits sind sehr häufig unbekannt, so dass diese auch nicht erkannt werden können.

Das Bayerische Staatsministerium des Innern, für Bau und Verkehr hat die Kooperationsvereinbarung mit der Landesgruppe Bayern des Bundesverbandes der Sicherheitswirtschaft und dem Bayerischen Verband für Sicherheit in der Wirtschaft erneuert und nunmehr auf den gesamten Freistaat Bayern ausgeweitet. Nach zwei erfolgreichen Jahren der Pilot- Kooperation für die Ballungsräume München und Nürnberg, die der Gewährleistung und weiteren Stärkung der Öffentlichen Sicherheit und Ordnung dient, wurde die Kooperation an die neue Sicherheitslage angepasst. Aufgrund ihrer überaus professionellen Aufgabenwahrnehmung haben sich die privaten Sicherheitsdienstleister als Kooperationspartner der Polizei in ganz Bayern verdient gemacht. Im Rahmen des 6. Bayerischen Sicherheitstages, am 10. Juli 2017, unterzeichneten Vertreter der Kooperationspartner, im Beisein von Innenstaatssekretär Gerhard Eck, die Vereinbarung.

In den vergangenen Jahren hat die erfolgreiche Pilot-Kooperation mit den privaten Sicherheitsdienstleistern für die Ballungsräume München und Nürnberg gezeigt, dass sich diese durch ihre professionelle präventive Aufgabenwahrnehmung zu einem kompetenten Kooperationspartner entwickelt haben. Die Zusammenarbeit zwischen Polizei und privaten Sicherheitsdienstleistern sorgt im Interesse der öffentlichen Sicherheit und Ordnung aller, zur weiteren Kriminalitätsvorbeugung, Förderung der Wirtschaftsstandorte und ergänzt die polizeiliche Arbeit. Die Zusammenarbeit bezieht sich im Wesentlichen auf den Austausch von Informationen über Wahrnehmungen bei der Störung der öffentlichen Sicherheit und Ordnung. Das staatliche Gewaltmonopol bleibt selbstverständlich unangetastet – denn die privaten Kooperationspartner erhalten durch eine solche Vereinbarung keinerlei zusätzlichen Befugnisse, sondern werden lediglich unterstützend tätig.

Beobachten, Erkennen, Melden

Für die Sicherheitsunternehmen steht das Leitmotto „Beobachten, Erkennen, Melden“ an erster Stelle. Daraus ergibt sich eine Ergänzung des polizeilichen Lagebildes durch Informationen, die Mitarbeiter privater Sicherheitsdienstleister bei der Ausübung ihrer täglichen Arbeit an die Polizei weiterleiten. Die Mitarbeiter der beteiligten Firmen stehen auch als Ansprechpartner für hilfe- und ratsuchende Bürgerinnen und Bürger zur Verfügung. Jeder Informationsaustausch zwischen den Kooperationspartnern findet unter Einhaltung des Datenschutzes und unter der Wahrung berechtigter Interessen Dritter statt. Die Beteiligung von privaten Sicherheitsdienstleistern an der Kooperationsvereinbarung ist an strenge Teilnahme- und Qualitätskriterien geknüpft. Bestandteile sind unter anderem die Mitgliedschaft im BDSW/BVSW, Tariftreue, eine 24-Stunden-Notruf- und Serviceleitstelle, Einsatz qualifizierten Personals, Zertifizierung nach DIN ISO 9001 ff., eine Alarmempfangszentrale gemäß EN 50518 oder einer nach VdS-Richtlinie 2172 anerkannten Interventionsstelle und einer Ausbildung der Alarm- und Streifenfahrer nach VdS-Richtlinie 2172.

Ähnliche Kooperationsvereinbarungen wie in Bayern bestehen auch in den Städten Hannover, Essen, Düsseldorf, Frankfurt am Main und Wiesbaden sowie den Bundesländern Berlin, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Sachsen und Schleswig-Holstein.

Bildquelle: AdobeStock – Urheber: Witthaya:

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern.

Kommentieren

Hier klicken, um ein Kommentar zu schreiben