AnyDesk ist kompromittiert

Zur Fernwartung und für das Remotearbeiten wird vielfach AnyDesk als Softwarelösung verwendet. Mittles einer Verwaltung bei dem Hersteller finden PC-Systeme zusammen, damit Bildschirm, Maus und Tastatur über das Internet auf entfernte Rechner übertragen werden. Die Software erleichtert den Support und das Arbeiten von Zuhause, ohne selbst in aufwendige Infrastruktur wie VPN, Zertifikate und Vermittlungsserver zu investieren.

Doch genau hier liegt auch die größte Schwäche von AnyDesk und Co.: Daten vieler Nutzer können auf der zentralen Plattform mit einem Angriff erbeuetet werden. So wurden Anfang Februar rund 18.000 Datensätze mit Kennwörtern in russischen Darknet Foren ageboten, die offensichtlich aus einem Cyberangriff auf AnyDesk stammen.

AnyDesk hat sofort technische Maßnahmen ergriffen und Zertifikate sowie Kennwörter geändert. Ein durchaus umfangreicher Prozess. Nutzern ist trotzdem graten, Ihre Kennwörter zu ändern und selbst wachsam zu sein.

Weche Maßnahmen zur eigenen Absicherung ergriffen werden, erklären wir Ihnen gerne in einem persönlichen Gespräch.


Detailierte Infromation hat die Fachredaktion von Heise veröffentlicht:
IT-Sicherheitsvorfall: Anydesk bestätigt Einbruch in Produktionssysteme | heise online

IT-Sicherheit aktuell

Die Attacken auf IT-Systeme häufen sich und mit zunehmender Digitalisierung fast aller unserer Lebensbereiche werden die Auswirkungen immer dramatischer spürbar.

So wurden Ende Oktober rund 70 Kommunen lahmgelegt, weil ein kommunales Rechenzentrum durch einen Cyberangriff verschlüsselt wurde. Die Auswirkungen für Bürgerinnen und Bürger sind bis heute nicht abzusehen und behindern von der KFZ-Zulassung bis hin zu Leistungsbescheiden und Zahlungen alle Bereiche des öffentlichen Lebens.

Wir beraten seit über 15 Jahren Unternehmen und Behörden. Mit unseren verwalteten Dienstleistungen prüfen wir kontinuierlich die Sicherheit der IT-Systeme unserer Kunden und implementieren mit unseren Partnern und Herstellen Abwehrmechanismen zeitnah und proaktiv. Bis hin zur Anwenderschulung für mehr Sicherheitsbewusstsein und eMail-Kampagnen mit Angriffs-Simulationen betrachten wir Ihr Netzwerk immer ganzheitlich und erhöhen damit Ihr Sicherheitsniveau auf allen Ebenen.

Lassen Sie sich von uns beraten und nehmen unverbindlich Kontakt auf.

Damit Sie sich in Zukunft nicht in den Nachrichten wiederfinden:
Ransomware: Messe Essen und kommunaler IT-Dienstleister betroffen | heise online
Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt – Westfalen-Lippe – Nachrichten – WDR
Hackerangriff: Weiter Störungen in mehreren Kommunen nach Cyberangriff | ZEIT ONLINE

Repatriation – Oder der Weg aus der Cloud

Als Repatriation (englisch für Repatriierung) beschriebt allgemein die Rückführung von Menschen oder Dingen auf das eigne Staatsgebiet. Zum Beispiel bei der Auflösung von Botschaften oder Niederlassungen von Unternehmen in Drittländern.

In der Informationstechnologie bedeutet der Begriff die Rückführung der Daten und Infrastruktur aus der Cloud in ein eigenes Rechenzentrum oder auf Cloud- bzw. Hosting-Server im eigenen Land.

Warum?

Durch Corona und das damit verbundene Wachsen von Homeoffice-Arbeitsplätzen sind viele Unternehmen und Organisationen in Hyperscaler-Clouds wie Microsoft 365 oder Google Workplace gewechselt. Der Vorteil ist die schnelle Verfügbarkeit und der geringe Aufwand bei der Bereitstellung, sowie ein möglichst interoperables Meeting-System wie Teams, Meet, WebEx, Zoom etc.

Die Infrastruktur war vorhanden und skalierbar, sodass man sich als Unternehmen schnell einmieten konnte. Doch mittlerweile stellen uns immer mehr Unternehmer und Organisationsverantwortliche die Frage nach der Kontrolle über Clouds wie Microsoft 365. Nicht zuletzt das Abhandenkommen von Generalschlüsseln für die Microsoft Could lässt viele Verantwortliche die Frage nach der Kontrolle über die eigenen Daten stellen. (Link zu Heise.de mit Fragen an Microsoft)

Klar ist, dass Infrastrukturen für Datensicherung und Datensicherheit ohnehin immer noch von den Unternehmen und Organisationen bereitgestellt und gewartet werden müssen. Der Aufwand für den Betrieb ist nur ein Baustein im Betriebskonzept der IT.

Nach Jahren des AdHoc Reagieren stellen sich aber immer mehr Verantwortliche die Frage, wie mehr Kontrolle übe die eigenen Unternehmensdaten erreicht werden kann. Dabei ist das komplette Verlassen einer großen Cloud mit etlichen Umstellungen der Arbeitsprozesse verbunden. Denn ein eingeführtes System wie Microsoft Teams lässt sich nur schwer ersetzen.

Was tun?

Machen Sie sich einen guten Plan. Nehmen Sie professionelle Beratung in Kauf und erörtern Sie mit Spezialisten die Risiken und ToDos. Wir helfen Ihnen kompetent bei allen Fragen zu Ihrem IT-Betrieb. Unser Maxime ist die beste Lösung für Sie als Kunden herauszuarbeiten und mit Ihnen umzusetzen. Sprechen Sie uns an.

Digitale Achtsamkeit üben

Oft genügt ein Klick und wichtige IT-Systeme stehen still. Dabei werden oftmals keine ausgefeilten Sicherheitslücken ausgenutzt, sondern Anwenderinnen und Anwender werden animiert Links mit Schadcode anzuklicken, um ein Einfallstor in ein Unternehmen herzustellen.

Zusammen mit unserem Sicherheitspartner Securepoint helfen wir Ihnen als Kunden, Ihre Nutzer und Nutzerinnen für Social-Engineering zu sensibilisieren. Scheinangriffe testen die Achtsamkeit der Mitarbeiterinnen und Mitarbeiter. Begleitet von Schulungsmodulen zum Selbststudium und einem professionellen Monitoring haben Sie so immer den Überblick wie fest Ihre „Human Firewall“ steht.

Nehmen Sie noch heute Kontakt zu uns auf und lassen sich beraten, wie Sie den Gefahren des Social Engineering effektiv begegnen können.


Weiterführenden Links:
Awareness PLUS – Cybersecurity Trainings mit Wirkung on Vimeo
Infomappe Awareness Plus

Zero Day Lücke mit bis zu 11 Millionen Betroffenen

In dem Tool MOVEit (R) Transfer sorgt eine ZeroDay Lücke für massiven Datenabfluss. Laut Berichten sollen bis zu 11 Millionen Datensätze mit persönlichen Daten betroffen sein. Auch die AOK Niedersachsen und die Barmer gehören den Berichten nach zu den Opfern.

Aber der Reihe nach…

Im Internet ist ein sicherer Datenaustausch unabdingbar. Krankenkassen, Versicherungen und Banken, sowie staatliche Stellen sind in hohem Maße von einem sicheren und vertrauenswürdigen Austausch abhängig. Da das Internet in seiner grundlegenden Beschaffenheit keine sicheren Verbindungen gewährleisten kann, sind Unternehmen und Organisationen auf Zusatzprogramme angewiesen. Als eines dieser Programme hat sich MOVEit (R) Transfer etabliert. Etliche Versicherungen, Banken und Dienstleister, sowie auch stattliche Stellen vertrauen weltweit auf MOVEit Transfer.

Umso gravierender sind Lücken in der Programmierung einer solchen Software. Hersteller sind bemüht, Sicherheitslücken selbst zu finden und noch vor einer Ausnutzung zu schließen bzw. direkt nach dem Bekanntwerden. Sog. Zero Day Lücken sind Schwachstellen, die bisher weder dem Hersteller, noch Sicherheitsforschern aufgefallen sind. Solche Lücken zu nutzen ist bei Cyberkriminellen hoch begeht, da für Angriffe noch keine Gegenmaßnahmen getroffen sind.

Hintergründe zur Tragweite dieser Lücke beleuchtet heise.de
MOVEit-Lücke: US-Betrieb meldet Datenabfluss bei bis zu 11 Millionen Personen | heise online

Achtung! Malware über signierte Treiber

Derzeit passiert etwas, das es in der Theorie so gar nicht geben dürfte. Treiber mit Signaturen tragen Viren und weiteren Schadcode auf Windowssysteme.

Dabei sind Signaturen so was wie ein Garant für Echtheit und Vertrauen in der digitalen Welt. Wird dieses Prinzip aufgeweicht, so haben wir insgesamt ein großes Problem. Genau solch ein Problem scheint aktuell hausgemacht bei Windowssystemen. Microsoft hat als Hersteller ein großes bestreben, eine einfache Unterstützung für alle möglichen Hardware zu bieten. Auch altes Equipment soll möglichst noch mit Windows Geräten der neuesten Genration funktionieren. Nicht zuletzt durch Kundenstimmen, die dieses fordern. Auch wir sind in unserer täglichen Arbeit mit Aussagen konfrontiert wie „Soll ich mir nun einen neuen Drucker/Scanner/Soundstudio etc. kaufen, nur weil ich ein aktuelles Windows installiere?“ Die Antwort lautet „Ja“, wenn der Hersteller keine Treiber mehr anbietet. Sei es, weil das Produkt nicht mehr unterstützt wird, oder weil der Hersteller dieser Komponente nicht mehr existiert.

Viele Kunden fordern aber eine langfristige Unterstützung. Die Problematik hat Microsoft in sofern erkannt, dass Treiber mit veralteten und abgelaufenen Signaturen vor einem Bestimmten Datum über Windows Update installiert werden dürfen. Ohne Prüfung, direkt in den Kernel Mode (dem Herzen des Systems). Schadsoftware, die einmal den Kernel Mode erreicht hat, ist quasi allmächtig auf dem System und für viele Schutzprogramme unsichtbar.

Eine schnelle Abhilfe scheint nicht in Sicht, da Microsoft wohl bekannte Zertifikate, die für Signaturen von solchen Treiben verwendet werden, individuell sperren muss.

Was können Kunden tun? Lassen Sie sich kompetent beraten, nehmen Sie den Rat Ihres IT-Betreuers ernst, wenn dieser Ihnen vorschlägt nicht mehr unterstützte Hardware auszutauschen. Zudem erarbeitet Ihr IT-Dienstleister mit Ihnen einen Plan für Produktionsumgebungen, wie Sie mit diesem Angriffsvektor umgehen können.

Wir bieten Ihnen eine proaktive Überwachung Ihrer IT-Systeme zu einem attraktiven Festpreis an. Fragen Sie uns und lassen Sie Ihre Rechner vom Client bis zum Server professionell überwachen. Mit unserem Partner O&O Software sammeln wir Telemetrie-Informationen Ihrer PCs und Server in einem deutschen Rechenzentrum. Mitarbeiter von OZ-IT bewerten Ihren Sicherheitsstatus, Update-Aktualität und Systemgesundheit. Auf Wunsch automatisieren wir Standardaufgaben in der Administration. Zudem erhalten Sie regelmäßige Berichte über Ihre Landschaft und wir diskutieren mit Ihnen individuelle Maßnahmen zur Erhöhung von Zuverlässigkeit und Sicherheit Ihrer IT.

Sprechen Sie uns an.


Weitergehene Links:
Malware in über 100 signierten Windows-Treibern gefunden: Microsoft reagiert | heise online
KB5029033: Hinweis auf Ergänzungen zur Windows Driver.STL-Sperrliste – Microsoft-Support
Microsoft Revokes Malicious Drivers in Patch Tuesday Culling – Sophos News

Bye bye Internet Explorer

Am 15. Juni 2022 stellte Microsoft den Support für den Internet Explorer ein. Schaut man auf die Nutzungsstatistiken der Browser weltweit, so war dieser ohnehin der unbeliebteste Browser zum Surfen. Sicherheitsexperten freuen sich schon, wenn dem Supportende dann auch das Entfernen aus dem Windows Betriebssystem folgt. Galt die Art der Programmierung und Implementierung doch seit Jahren schon nicht mehr als zeitgemäß in Bezug auf IT-Sicherheit.

Eine „Win-Win Situation“ für alle möchte man meinen. Microsoft hat schon lange mit Edge einen Nachfolger im Programm und das letzte Refresh brachte auch die beliebte Chromium Engine als Basis für diesen Browser standardmäßig in die Windowswelt. Auf Chromium basiert so gut wie jeder Browser weltweit, einzige Ausnahme der großen Player bleibt derzeit Firefox mit einer eigenen Engine.

Also nicht nur mehr Sicherheit, sondern auch mehr Kompatibilität. Noch ein Zugewinn durch den Abschied von Internet Explorer. Die digitale Welt müsste in Jubel ausbrechen.

Die zwei großen „Aber“

Viele Unternehmen haben immer noch Software im Einsatz, die bei den Benutzern den Internet Explorer erfordert. Wir werden täglich damit konfrontiert, dass unsere Kunden bei Ihren Lieferanten Shopsysteme nutzen müssen, die nur mit dem Internet Explorer und lokalen Adminrechten funktionieren. Eine Haltung „selber Schuld“ ist hier auch nicht zielführend, denn die mittelständischen Unternehmen, die einen Konzern als Vertragspartner haben, können nichts ändern, selbst wenn sie wollten. Der Klassiker sind Autohäuser, die bei Ihren Marken per Web Fahrzeuge konfigurieren, Ersatzteile bestellen und Serviceaufträge abwickeln. Wenn der jeweilige Hersteller in seinem Portal auf Internet Explorer setzt, dann hat der Händler vor Ort keine Chance, das zu ändern. Hier ist ene ganze Industrie gefordert, zeitgmäße Strukturen zu schaffen. Weitere Beispiele finden sich in Kraftwerken, bei Versorgern und selbst in Kassensystemen.

Das Zweite ist, dass Microsoft mit dem Ende der Internet Explorer Engine keine weitere Eigenentwicklung verfolgt, sondern auf einen weltweiten Quasistandard setzt. Damit geht uns Diversität verloren. WebdesignerInnen werden noch stärker auf die Chromium Engine setzen und ihre Webseiten nur noch dafür testen. Das hat zur Folge, dass das Nutzererlebnis bei anderen schlechter wird. Namentlich Mozilla Firefox, der noch auf einer Eigenentwicklung der Mozilla Foundation setzt. Angriffe und Schwachstellen der jüngsten Vergangenheit haben gezeigt, wie gefährlich es für das ganze Internet sein kann, wenn Diversifizierung fehlt. Denken wir zurück an Log4J und den Heartbleed bug, welche einen weltweiten Impact und sehr bedrohliche Auswirkungen hatten.

Keine Lösung aber vielleicht ein Schritt

Megatrends zu ändern ist keine einfache Sache. Aber jede und jeder kann zumindest was dafür tun, dass die Übermacht einer einzigen Engine nicht zu groß wird. Zwar ist es einfach, den neuen Edge Browser zu nutzen, weil dieser direkt mit Windows ausgeliefert wird. (Oder Safari bei Apple) Wer ein offenes und diversifiziertes Web möchte, der schaut sich um und installiert Firefox als Browser. Das schützt und bei allen positiven Aspekten im Abgesang des Internet Explorers vor einem bösen Erwachen, wenn die basierende Engine irgendwann mal einen bedrohlichen Fehler aufweist.


Offizieller Download von Mozilla Firefox
https://www.mozilla.org/de/

Pressebericht zum Haertbleed bug
https://www.funkschau.de/office-kommunikation/heartbleed-bsi-sieht-weiteren-handlungsbedarf.108002.html

BSI zu Log4J Schwachstelle
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html

Kein Backup – Kein Mitleid

Datensicherungen gehören seit jeher zu den Grundaufgaben eines IT-Betriebs. Durch immer mehr Cloudnutzungen werden diese Aufgaben gerne vernachlässigt. Oft mit dem Argument, der Cloudanbieter übernehme diese Aufgabe für seine Kunden.

Hier lohnt es sich aber genau in die Bedingungen zu schauen. Viele Cloudanbieter betreiben ein Disasterrecovery für ihre Rechenzentren. Dies bedeutet für den Kunden, sollte dem Anbieter das Rechenzentrum durch Fehler komplett abhanden kommen (Feuer, Erdbeben etc.) werden die Backups wieder eingespielt. Einen Fehler im Kundenumfeld deckt diese Datensicherung nicht ab. Zudem können Kunden nicht bestimmen, zu welchem Zeitpunkt eine Sicherung wiederhergestellt werden soll.

Zwar gibt es Snapshots, auf die Kunden im Zweifel Vorversionen ihrer Daten wiederherstellen können, doch auch hier wissen viele Kunden nicht wie und vor allem wie lange solche Sicherungen vorgehalten werden.

Nutzen Sie eine eigene Datensicherung

Immer wieder wird postuliert, die Daten sind ein Wertvoll Gut einer Unternehmung. Dann sollten Unternehmen aber auch die Kontrolle über deren Sicherung in den Händen halten. Veeam ist hier einer der führenden Anbieter, der nahezu alle Quellen von Unternehmensdaten sichern kann. Lokale Server, genauso wie Office 365 Instanzen und Cloud-Infrastruktur bei AWS oder Google. Dazu hat Veeam einen einfachen Einstieg für Unternehmen geschaffen, die mit sog. Community Produkten, kostenfrei ein leistungsfähiges Backup nutzen können. Ebenso können Privatnutzer diese Profitechnik kostenfrei zur Sicherung ihrer privat genutzten Rechner verwenden.

Mit der Technik von Veeam behalten Sie den direkten und unmittelbaren Zugriff auf Ihre gesicherten Daten, können die Wiederherstellung testen und setzen auf eine skalierbare Lösung für das Wachstum Ihres Unternehmens. Ohne Neuinstallation können Umfänge durch Lizenzschlüssel erweitert werden, was gerade in einer Wachstumsphase Ausfallzeiten durch Erweiterung von IT-Systemen minimiert.

Ein eigenes Backup ist die beste Exit Strategie für die Cloud

So gut die nutzungsbasierte Abrechnung von Clouddiensten ist, und auch so flexibel Ressourcen den eigenen Anforderungen angepasst werden können, Unternehmen möchten sich nicht einem Anbieter ausliefern. Hier ist ein gut geplantes Backup die Lösung, aus einer Sicherung im eigenen Zugriff einfach Migrationen bewerkstelligen zu können, bis hin zum Betrieb von Servern im eigenen Haus.


Als Dienstleister verstehen wir Ihre Ansprüche und planen gerne mit Ihnen die passenden Sicherungslösung für Sie. Sprechen Sie uns an oder versuchen Sie die ersten Schritte mit Veeam in Eigenregie.

Auslistung Kaspersky Produkte

Der Einmarsch russischer Truppen in die Ukraine hat uns fassungslos gemacht. Aus diesem Grund sind wir auf unsere Kunden mit aktiven Kaspersky Abos zugegangen und bieten eine Ablöse dieser Produkte an. Zudem haben wir Kaspersky OEM Technologieren in den von uns eingesetzten Sicherheitslösungen bei unseren Kunden deaktiviert und die Abos beendet. Durch die Nutzung anderer Hersteller haben unsere Kunden keine Einschränkungen in ihrem Sicherheitslevel zu befürchten.

Alle von uns angesprochenen Kunden begrüßen diesen Schritt. Zudem werden wir die Vermarktung von Kaspersky komplett einstellen.

Wir sind seit 2 Jahren Partner von Securepoint, einem deutschen Hersteller professioneller Sicherheitslösungen. Sprechen Sie uns gerne an, wenn wir auch Ihnen die Vorzüge einer in der EU entwickelten Sicherheitslösung näherbringen können.

Lücke in Intel Prozessoren

Unter den CVE CVE-2021-0157 und CVE-2021-0146 sind zwei Lücken in Intel Prozessoren bekannt gemacht worden die es Angreifern erlauben, sich höhere Rechte auf einem System zu beschaffen.

Updates sind nur durch Patches für die entsprechenden BIOS Versionen der PCs und Server möglich . Besonders prekär ist, dass nahezu alle Prozessoren der Baureihen XEON, Core, Pentium, Celeron und Atom betroffen sind. Also das gesamte Portfolio der Intel-Prozessoren. Verbaut sind diese Prozessoren vom Server über Workstation, bis hin zu Laptops, Tablets und manch einem Apple-Gerät.

Da diese Lücke als sehr kritisch eingestuft wird, ist es dringend geboten, bei den Herstellern der Systeme nach Updates für das BIOS Ausschau zu halten und diese zu installieren.

Details zu den Verwundbarkeiten sind direkt bei Intel veröffentlicht:
INTEL-SA-00562
INTEL-SA-00528

Nach den großen Lücken Anfang 2018 und Mitte 2019 ist dieses erneut eine Bedrohung mit hoher Reichweite durch Prozessoren von einem Hersteller.

Cookie Consent mit Real Cookie Banner