Comretix Blog

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Kommerzielle Netzbetreiber der USA wie AT&T und Verizon sind Opfer chinesischer Cyberspione geworden. Dabei haben die von der Regierung Chinas unterstützten Angreifer Zugriff auf Telefonaufzeichnungen und -daten von Kunden sowie private Kommunikationsdaten von Politikern und Regierungsangehörigen erlangt. Sogar von Polizeibehörden durchgeführte und gerichtlich genehmigte Abhörungen wurden abgegriffen. Das FBI und die US-Cybersicherheitsbehörde CISA bezeichnen es als "umfassende und bedeutende Cyberspionagekampagne".

Anzeige

Damit haben das FBI und die CISA (Cybersecurity and Infrastructure Security Agency) bestätigt, was zuvor bereits bekannt geworden war. Anfang Oktober wurde berichtet, dass AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden seien. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Denn über mehrere Monate oder länger könnten die Cyberkriminellen Zugang zu Netzwerkinfrastrukturen gehabt haben.

Details zum Umfang und der Dauer des Cyberangriffs bleibt die gemeinsame Erklärung von FBI und CISA schuldig, aber die Verbindung der Angreifer zur Volksrepublik China wird mehrfach erwähnt. Die Untersuchung der Vorfälle dauert an, betroffene Opfer werden informiert. Namen werden nicht genannt, aber im Visier der Cyberspione waren etwa der gerade zum US-Präsidenten gewählte Donald Trump sowie sein designierter Vizepräsident J.D. Vance, schreibt Politico.

Demnach hätten die Cyberspione Zugriff auf Telefondaten mehrerer Millionen US-Amerikaner gehabt, aber nicht jede einzelne Person sei dabei überwacht worden. Die Angreifer hätten anfangs rund 40 Opfer gesucht, um diese auszuspionieren. Allerdings hat sich diese Zahl mittlerweile erhöht und könnte sogar mehr als Tausend Individuen umfassen, heißt es. Insgesamt seien rund 10 Telekommunikationsunternehmen betroffen, darunter Verizon, AT&T und Lumen Technologies.

Cyberkriminellen ist es anscheinend gelungen, auf eine oder mehrere Datenbanken des Statistischen Bundesamts (Destatis) Zugriff zu erlangen. Dabei haben sie angeblich Unternehmensdaten in einem Umfang von 3,8 GByte kopiert. Diese stehen nun im digitalen Untergrund zum Verkauf.

Anzeige

Die Destatis-Datenbank steht in einem Untergrundforum zum Verkauf.

(Bild: Screenshot / cku)

Die Daten umfassen etwa Kontaktdaten, Anschrift, Unternehmensabteilung, Umsatzsteuernummern, Bundesland, Titel, Namen, Telefon- und Fax-Nummern, E-Mail-Adresse und einige Dokumente, behaupten die Täter in ihrem Angebotstext im Untergrundforum. Ob da auch sensible respektive vertrauliche Informationen drunter sind, ist bislang unklar.

Google schaut in die Glaskugel: Ein fast 20-seitiges PDF liefert Einschätzungen der zu erwartenden IT-Bedrohungslage 2025 von Googles Cloud-Security-Köpfen. Neben dem Führungspersonal kommen auch IT-Forscher aus den diversen IT-Sicherheitsteams von Google und der Google-Tochter Mandiant zu Wort.

Anzeige

Google wählt dem zugehörigen Blog-Beitrag zufolge einen konservativen Ansatz und extrapoliert zu Erwartendes aus den derzeit beobachteten Trends. Das soll einen realistischen Ausblick liefern, anhand dessen sich Organisationen darauf vorbereiten können, was im kommenden Jahr auf sie zukomme.

Das hat aber auch zur Folge, dass keine überraschenden Informationen darin auftauchen. Google erörtert, dass bösartige Akteure vermehrt auf KI für verfeinertes Phishing, Vishing und Social Engineering setzen werden. Zudem sei eine Zunahme an Deepfake-Einsätzen für Identitätsbetrug und -Diebstahl, Betrug oder zur Umgehung von Sicherheitsmaßnahmen zu erwarten. Mittels KI werden die Täter außerdem ihre Schlagzahl optimieren: Skalierung der Inhaltserzeugung, Erstellen von mehr überzeugenden Inhalten, oder Verbesserung von nicht authentischen Persönlichkeiten.

Die sogenannten "Big Four", namentlich China, Iran, Nordkorea und Russland werden weiterhin aktiv bleiben und sich weiter in Spionageaktivitäten stürzen, Cybercrime begehen und Ausspähoperationen in Verknüpfung mit ihren geopolitischen Interessen verfolgen. Auch zum Teil staatlich gelenkt: Ransomware und vielschichtige Erpressung bleiben die am meisten störenden Formen der Cyberkriminalität, schätzt Google, die Auswirkungen auf diverse Sektoren und Länder haben.

Anzeige

Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT-Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können. Dass das Zusammenspiel der Komponenten im Systemverbund leicht aus dem Tritt gerät, hat zuletzt der Crowdstrike-Vorfall gezeigt.

Das Programm des IT-Sicherheitstags bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Die Gitlab-Entwickler empfehlen, die aktuellen Sicherheitspatches für Gitlab Community Edition (CE) und Enterprise Edition (EE) für selbst gehostete Instanzen zeitnah zu installieren. Geschieht das nicht, können Angreifer an mehreren Lücken ansetzen und sich unter anderem Zugriff auf eigentlich abgeschottete Bereiche des Entwicklungsservers verschaffen. Gitlab.com ist ihnen zufolge bereits abgesichert.

Anzeige

Insgesamt haben die Entwickler einer Warnmeldung zufolge in den aktuellen Versionen 17.3.7, 17.4.4 und 17.5.2 sechs Sicherheitslücken geschlossen. Bis auf eine Schwachstelle sind alle Lücken mit dem Bedrohungsgrad "mittel" eingestuft.

Sind Attacken erfolgreich, können sich Angreifer unter anderem Zugriff auf den Kubernetes Cluster Agent verschaffen (CVE-2024-9693 "hoch"). Unbefugte Zugriffe sind auch über OAuth möglich (CVE-2024-7404 "mittel"). Über weitere Lücken können noch Informationen leaken (CVE-2024-10240 "mittel). Außerdem sind DoS-Attacken vorstellbar (noch keine CVE-Nummer zugeteilt).

Bislang gibt es noch keine Berichte, dass Angreifer bereits Lücken ausnutzen. Leider geben die Entwickler Nutzern keine Orientierungspunkte, an denen bereits erfolgte Attacken erkennbar sind.

Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.

Anzeige

Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.

In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:

ShrinkLocker hat es auf Windows-PCs abgesehen, verschlüsselt Festplatten und erpresst Lösegeld. Nun haben Sicherheitsforscher von Bitdefender Schwachstellen in der Vorgehensweise der Ransomware entdeckt und für Opfer ein kostenloses Entschlüsselungstool veröffentlicht.

Anzeige

Wie aus einer Analyse der Sicherheitsforscher hervorgeht, nutzt der PC-Schädling keinen Verschlüsselungsalgorithmus, sondern Microsofts legitimes Windows-Sicherheitsfeature Bitlocker, das Festplatten verschlüsselt. In diesem Fall kennen aber nur die Täter den zufällig generierten Schlüssel, den sie Opfern gegen eine Lösegeldzahlung anbieten.

Um das zu bewerkstelligen, nutzt ShrinkLocker den Forschern zufolge ein Visual Basic Script, dessen Code aber ziemlich veraltet und fehlerhaft sein soll. Darüber sollen die Angreifer Bitlocker-Konfigurationen modifizieren und dann Systemfestplatten verschlüsseln. Im Anschluss werden Opfer von einem Bitlocker-Bildschirm begrüßt, der zur Eingabe des Passworts zum Entschlüsseln hinweist. Über eine eingeblendete E-Mail-Adresse können Opfer die Angreifer für die Lösegeldzahlung kontaktieren. ShrinkLocker nutzt Group Policy Objects (GPOs) und geplante Aufgaben, um weitere Systeme im Netzwerk zu verschlüsseln. So können Angreifer ganze Domänen in Mitleidenschaft ziehen.

Bei der Analyse der Malware stießen die Forscher eigenen Angaben zufolge auf mehrere Fehler im Code. Ihr Tool setzt zur Datenwiederherstellung in einem bestimmten Zeitfenster im Bitlocker-Recovery-Modus an. Wie das im Detail funktioniert, steht im Beitrag der Forscher. Das Tool steht kostenlos zum Download. So können Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen.

Erneut gibt ein Anbieter für Bonitätsauskünfte unfreiwillig höchst sensible Daten preis. Wie die Hackerin Lilith Wittmann mittels eines prominenten Opfers zeigte, lässt sich "it's my data" Informationen über die Zahlungsmoral prominenter Politiker entlocken, aber auch beliebiger anderer Personen. Ursache: Ein ungenügend abgesicherter API-Aufruf.

Anzeige

Auskunfteien wie die Schufa oder Infoscore geben Einschätzungen über die Kreditwürdigkeit möglicher Vertragspartner ab – nicht nur Banken und Unternehmen, sondern auch Vermieter fordern diese Informationen routinemäßig an. Das Start-up "it's my data" macht aus diesem Umstand gleich mehrere Produkte wie einen "Bonitätspass" und eine "Mietermappe" zur Vorlage beim Vermieter.

Die itsmydata-Produkte seien von Maklern empfohlen, 100 Prozent DSGVO-konform und zertifiziert für digitale Transparenz, so die Eigenwerbung des Unternehmens. Doch Hackerin Wittmann stellte mehr Transparenz her als vom Anbieter beabsichtigt. Nachdem sie ein Konto bei itsmydata angelegt hatte, konnte sie mithilfe eines ungeschützten API-Calls ihre eigenen Daten wie Name und Meldeadresse ändern und durch die einer fremden Person ersetzen. Deren Bonitätsauskunft erhielt sie dann im praktischen PDF-Format. Laut Wittmann lässt sich dieses Vorgehen mehrfach wiederholen.

Derlei Lücken sind für die Berlinerin nichts Neues: Bereits vor gut einem Jahr hatte Wittmann sich die App "Bonify", eine Schufa-Tochter, vorgenommen und ebenfalls Bonitätsdaten eines Prominenten abgerufen. Die Kreditwürdigkeit des Ex-CDU-Gesundheitsministers habe sich immerhin ein wenig verbessert, bemerkte Wittmann belustigt in den sozialen Netzwerken.

Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.

Anzeige

Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.

Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.

Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen "SHIPPING_INV_PL_BL_pdf.rar". Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Zoom hat Patches veröffentlicht, die mehrere Sicherheitslücken in Meeting SDK, Rooms Client, Rooms Controller, Video SDK, Workplace App und Workplace VDI Client schließen. Die abgesicherten Versionen sind für Android, iOS, Linux, macOS und Windows erschienen. Bislang gibt es keine Hinweise auf bereits laufende Angriffe.

Anzeige

In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins Informationen zu den bedrohten Versionen und Sicherheitspatches. Nach erfolgreichen Attacken können sich Angreifer mit Netzwerkzugriff, aber ohne Anmeldung höhere Nutzerrechte verschaffen (CVE-2024-45421 "hoch"). Außerdem können Informationen leaken (CVE-2024-45419 "hoch").

Liste nach Bedrohungsgrad absteigend sortiert:

Fortinet hat Updates veröffentlicht, die hochriskante Sicherheitslücken in FortiOS, FortiAnalyzer und FortiClient schließen. Angreifer können die Schwachstellen missbrauchen, um ihre Rechte auszuweiten, unbefugt sensible Aktionen auf betroffenen Geräten auszuführen oder unbefugt Zugriff auf Netze zu erlangen.

Anzeige

Der FortiClient für Windows ermöglicht Angreifern, ihre Rechte im System mittels LUA-Auto-Patch-Skripten auszuweiten, schreibt Fortinet (CVE-2024-36513, CVSS 7.4, Risiko "hoch"). In einer weiteren Sicherheitsmitteilung schreiben Fortinets Entwickler, dass Angreifer mit niedrigen Rechten mit gefälschten Named-Pipe-Nachrichten zudem in den FortiClients für Windows beliebigen Code mit höheren Rechten ausführen können (CVE-2024-47574, CVSS 7.4, hoch). FortiClient für Windows 7.0.13, 7.2.5 und 7.4.1 schließen die Lücken, im Versionszweig 7.4 ist die LUA-Lücke hingegen nicht vorhanden. Wer FortiClient 6.4 einsetzt, soll auf eine dieser Fassungen aktualisieren.

Im FortyAnalyzer und Fortimanager können Nutzer mit Nur-Lese-Zugriff einige sensible Aktionen starten, schreiben die Entwickler in einer Sicherheitsnotiz. Dafür müssen sie angemeldet sein – welche Operationen genau sie dann unbefugt ausführen können, nennt der Hersteller jedoch nicht (CVE-2024-23666, CVSS 7.1, hoch). Die Lücken dichten die Versionen FortiAnalyzer und Fortimanager 7.4.3, 7.2.6, 7.0.13 und 6.4.15 sowie FortiAnalyzer-BigData 7.4.1 und 7.2.7, die Versionszweige 7.0, 6.4 und 6.2 sollen auf diese unterstützten Fassungen oder neuere aktualisieren.

Außerdem warnt Fortinet davor, dass Angreifer ohne vorherige Anmeldung SSL-VPN-Sessions mittels Phishing von SAML-Authentifzierungs-Links in FortiOS übernehmen können (CVE-2023-50176, CVSS 7.1, hoch). FortiOS 7.4.4, 7.2.8 sowie 7.0.14 oder neuer korrigieren den zugrundeliegenden Fehler.

Am 19. und 20. März 2025 treffen sich IT-Security-Verantwortliche in Hannover auf der secIT 2025. Der Star der Konferenzmesse sind die von c't, heise security und iX ausgewählten Programmpunkte. Diese Vorträge und Workshops über unter anderem Active Directory, NIS2 und Zero Trust sind werbefrei und die Referenten vermitteln wertvolle Fakten, die Admins direkt in Unternehmen umsetzen können.

Anzeige

Die secIT 2025 findet am 19. und 20. März 2025 im Hannover Congress Centrum (HCC) statt. Bereits am 18. März gibt es vor Ort mehrere Ganztagsworkshops zu aktuellen IT-Sicherheitsthemen. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, erhält das Ticket gratis. Wer das nicht möchte, bekommt ein Tagesticket noch bis 30. November 2024 für 59 statt 99 Euro. Ein Dauerticket für beide Tage kostet 99 statt 139 Euro. Tickets sind ab sofort im Onlineshop buchbar.

Zusätzlich zum Vortragsprogramm gibt es auch noch eine Ausstellung, in der sich Interessierte aktuelle Sicherheitslösungen vorführen lassen können. Natürlich stehen unsere Partner an ihren Ständen auch für Gespräche bereit.

Damit Firmen bei der Umsetzung der NIS2-Richtlinie nicht verzweifeln, leisten mehrere Vorträge und Workshops Hilfestellung. Auch die Podiumsdiskussion dreht sich um das Thema. Überdies gibt es Vorträge zu unter anderem Deepfakes in Telefonaten, Active Directory in Windows Server 2025 und wie man Cloud-Umgebungen effektiv gegen Attacken rüstet.

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Anzeige

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Hacker haben sich am Stromanbieter Tibber vergriffen und Daten geklaut. Das bestätigte das Unternehmen gegenüber heise security. Betroffen sind offenbar über 50.000 Kunden, allesamt aus Deutschland. Die Angreifer bieten ihre Beute im Darknet zum Kauf an.

Anzeige

Seit dem 11. November steht in einem populären Darknet-Forum ein Datensatz mit dem Titel "Tibber Data Breach - Leaked, Download" bereit. Einige Beispielzeilen enthalten Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Sie sind authentisch: Die Datensätze stammen aus einem Einbruch in den Tibber-Shop. Das gab das Unternehmen gegenüber heise security zu. In seinem Online-Laden verkauft Tibber Smart-Energy-Hardware wie den Strom-Tracker "Pulse". Ein Unternehmenssprecher betont jedoch, dass weder Zahlungs- noch Verbrauchsdaten abhanden gekommen seien, auch die genauen Adressen und Passwörter hätten die Hacker nicht erbeutet.

Der Umfang der gestohlenen Datensätze unterscheidet sich von der Darstellung der Hacker. Diese behaupten, 243.000 Datenzeilen aufgefunden zu haben, laut Tibber sind jedoch lediglich 50.000 Kunden betroffen. Die Diskrepanz könnte sich durch Mehrfachnennungen oder in mehrere Zeilen aufgeteilte Datensätze erklären.