In den letzten Wochen sind einige Sicherheitslücken in verschiedenen Clouddiensten aufgetreten. Diese Vorfälle verdeutlichen einmal mehr, dass u.a. selbst vermeintlich große Provider nicht vor Angriffen geschützt sind.

Nachfolgend eine Zusammenstellung von Vorfällen innerhalb der letzten Wochen und Monate, die unserer Aufmerksamkeit erregt haben:

Eine Backdoor bedroht das gesamte Internet!

Erst vor etwa zwei Wochen (am 29.03.2024) wurde eine Sicherheitslücke in einem Linux-Komponente entdeckt, die es ermöglicht hat, ohne Benutzeranmeldung beliebige Befehle an betroffene Linux-Systeme zu senden, welche dann mit höchsten Rechten im System ausgeführt werden.

Zum Zeitpunkt der Entdeckung wurde die schadhafte Softwareversion zum Glück nur auf wenigen Systemen eingesetzt, ansonsten hätte eine Ausnutzung dieser bewusst herbeigeführten Sicherheitslücke katastrophale Auswirkungen haben können, denn nahezu alle Server im Internet arbeiten mit einem Linux-Betriebssystem.

Einem einzelnen Entwickler ist es zu verdanken, dass diese Hintertür entdeckt wurde. Und dies, unseres Wissens, nur weil dem Entwickler seltsame Performance-Probleme im Rahmen von Fernzugriffen bei mehreren Installationen erkannte.

Der Angriff wurde von langer Hand geplant und lässt sich bis 2021 zurückverfolgen. Wer dafür verantwortlich ist, konnte bisher nicht festgestellt werden.

Quelle: Sicherheitslücke in xz: Backdoor in Linux-Archivbibliothek macht Systeme angreifbar (computerbase.de)

Etwa 1.000 Kiffer enttarnt!

Cannabis wird legalisiert und der Selbstanbau kann in Anbauvereinen organisiert werden. So will es der Gesetzgeber. Diese Vereine müssen allerdings genauestens buchführen. Daher ist es nur logisch, dass dafür spezielle Verwaltungsprogramme auf den Markt gebracht werden.

Neben dem Namen und der Anschrift der Vereinsmitglieder muss auch das Geburtsdatum erfasst werden. Zudem ist auch nachzuhalten, wann das Mitglied welche Menge Cannabis erhalten hat und wie hoch der THC-Gehalt war. Diese Daten sind dann für die nächsten 5 Jahre vorzuhalten.

Wir haben uns die Frage gestellt, ob diese Datensammelwut wirklich für eine Akzeptanz des Gesetzes unter den Konsumenten führt und den Konsum raus aus der Schattenwirtschaft holt. Tatsächlich waren wir ein Stück weit skeptisch.

In der Tat gab es aber zumindest mehr als 1.000 Konsumenten, die in Vereinen organisiert sind, die die Vereinsverwaltung „Canguard“ von „ThingBring“ eingesetzt haben.

Allerdings hat das Hackerkollektiv „Zerforschung“ die Software unter die Lupe genommen und dabei ein massives Datenleck entdeckt. Neben den oben genannten Stammdaten konnten die Angreifer die Daten nicht nur lesend abrufen, sondern auch verändern. Ebenfalls war es möglich die Passwörter einzelner Benutzer zu ändern.

Auch wenn sich die Cannabis-Konsumenten mit der zwangsweisen Erfassung des Konsums scheinbar abgefunden haben, bezweifeln wir, dass den meisten Mitgliedern diese besondere „Offenheit“ recht sein dürfte.

Quelle: Datenleck in Verwaltungs-Software von Cannabis-Clubs (msn.com)

Standorte und Chats von Kindern offen im Netz

Viele Eltern wollen wissen, was ihre Kinder im Internet treiben. Dabei gibt es unserer Ansicht nach durchaus positive Aspekte dieser Überwachung, wenn es z.B. darum geht nur altersgerechte Apps zuzulassen, oder ggf. auch die Nutzungszeit zu beschränken, damit die nachfolgende Generation noch natürliches Sonnenlicht kennenlernt und nicht nur vom Kunstlicht geblendet wird.

Viele „Kinderschutz-Programme“ können aber weit mehr als die vorgenannten Punkte. Eines dieser Produkte nennt sich „Kid Security“ und am 07.02.2024 ist aufgefallen, dass der Anbieter es mit der „Security“ nicht so genau genommen hat.

Nach den vorliegenden Informationen konnten durch das Datenleck nicht nur die E-Mail-Adressen der Eltern oder Standortinformationen der Kinder ermittelt werden, sondern auch Übersichten zu den installierten Apps, Statistiken zur Nuzung, IP-Adressen, IMEI-Nummern. Zudem konnten auch Chatverläufe – und vor allem – auch Audioaufnahmen aus der Umgebung der Minderjährigen von jedermann abgerufen werden.

Zu den Chatverläufen gehören auch private Nachrichten, die über WhatsApp, Instagram, oder Telegram übermittelt wurden.

Auch wenn der Entwickler der App nicht aus Deutschland stammt, könnte trotzdem die eine oder andere Installation auf den Smartphones von Kindern in Deutschland erfolgt sein, denn die App wurde auch in deutscher Sprache zur Verfügung gestellt.

Quelle: Standorte und Chats von Kindern offen im Netz (golem.de)

AnyDesk – Fernwartung oder Fernangriff?

Im Laufe des Jahreswechsels bis in den Februar hat uns noch ein weiterer Cyberangriff beschäftigt. AnyDesk, der Hersteller der gleichnamigen Fernwartungslösung, wurde offenbar angegriffen und zeitweise lahmgelegt. Auch wenn viele Fragen möglicherweise offengeblieben sind und die Kommunikation des Anbieters mit Sicherheit verbesserungswürdig war – ein durchschlagender Angriff auf Endkundensysteme ist zum jetzigen Zeitpunkt nicht bekannt.

Es ist aber stark davon auszugehen, dass dies das Kernziel des Angriffes war. Man muss sich nur vorstellen, welche Auswirkungen es hätte, wenn die Kunden über diesen Anbieter erfolgreich angreifbar gewesen wären. Gem. Presseinformationen aus 2020 hat Anydesk über 50.000 zahlende Kunden und verzeichnete insgesamt über 300 Millionen Downloads.

Quellen:
AnyDesk wächst 2020 um 170 Prozent (anydesk.com)
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen (borncity.com, komplette Artikelreihe)

Microsoft-Code und -Passwörter standen frei im Netz

Aber auch rund um Microsoft wird es nicht ruhiger.

Zur Erinnerung: Im letzten Jahr wurde bekannt, dass so gesehen der Master-Key für die Microsoft-Cloud in falsche Hände gelangt war und damit am Ende sogar Regierungsmitglieder ausgespäht worden sind. Zudem wurde der Vorfall nicht etwa durch Microsoft erkannt, sondern die IT-Abteilung eines Großkunden von Microsoft wurde auf ungewöhnliche Vorgänge in den eigenen Logfiles aufmerksam.

Im September 2023 folgte der nächste Zwischenfall. Das KI-Team von Microsoft hat versehentlich 38 Terabyte an internen Daten veröffentlicht. Darunter private Schlüssel und Passwörter, sowie über 30.000 Teams-Nachrichten von über 300 Microsoft-Mitarbeitern.

Im Januar wurde dann bekannt, dass eine russische Hackergruppe bereits seit November 2023 Zugriff auf mehrere E-Mail-Konten von Microsoft-Mitarbeitern gehabt hat.

Und nun ist im Februar 2024 ein weiterer für jedermann offen zugänglicher und ungeschützter Server von Microsoft entdeckt worden. Diesmal standen Quellcode, Passwörter, Scripte und Konfigurationsdaten – insgesamt über 1 Million Dateien – des Bing-Teams offen im Netz. Bedauerlicherweise hat Microsoft 4 Wochen gebraucht, bis dieser Server geschützt wurde.

Bei dieser Frequenz an Vorfällen und der damit verbundenen Tragweite verwundert es auch nicht, dass das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) in einem eigenen Ermittlungsbericht zum „Master-Key-Vorfalle“ zu dem Ergebnis kommt, dass eine „Kaskade vermeidbarer Fehler“ vorgelegen habe. Demnach würden bei Microsoft Sicherheitskontrollen fehlen, die bei anderen Cloud-Anbietern bereits etabliert seien.

Es verwundert daher auch nicht, dass das CISA nun von US-Behörden verlangt, eigene Maßnahmen einzuleiten. Dazu gehört die Änderung von Zugangsdaten möglicherweise betroffener Postfächer, die mit Microsoft in Kontakt standen.

Quellen:
Microsoft-Code und -Passwörter standen frei im Netz (heise.de)
Hacker konnten wochenlang interne E-Mails abgreifen (golem.de)
„Kaskade vermeidbarer Fehler“: So hat Microsoft beim Thema Cybersecurity versagt (msn.com)
US-Behörden müssen nach Cyberangriff auf Microsoft aufräumen (golem.de)
Details zum Microsoft-Leak: Über eine Million interne Dateien waren öffentlich (heise.de)

Die oben genannten Vorfälle zeigen vor zwei Dinge:

Die Größe eines Dienstleisters hat nicht mit der Sicherheit zu tun. Natürlich gilt auch weiterhin die Annahme, dass ein Dienstleister mit eigenem Team für Informationssicherheit sicherer aufgestellt ist als der eigene Server im Abstellraum, der von einem lokalen IT-Dienstleister betreut wird – ganz ohne Security-Team. Trotzdem zeigen die Vorfälle – gerade in Bezug auf Microsoft – dass auch Sicherheitszertifizierungen und Sicherheitsteams keine wirkliche Sicherheit gewährleisten!

Lieferkettenangriffe nehmen ebenfalls an Bedeutung zu. Ende 2020 wurde der Hersteller für Remote-Management-Lösungen Solarwinds kompromittiert, wodurch ein Trojaner als Update für die Verwaltungssoftware Orion an die Kunden verteilt wurde. Anfang 2024 wäre ähnliches fast bei AnyDesk passiert und im März die beinahe Sicherheitslücke in den Linux-Systeme. Angriffe auf die digitale Lieferkette haben eine immense Durchschlagskraft und ein Schutz vor diesen Angriffen ist aus Sicht der Kunden nicht möglich, denn immerhin wird die jeweilige Software aus konkreten Gründen genutzt, genießt das Vertrauen der Anwender und benötigt in der Regel umfangreiche Zugriffsrechte, damit der Zweck der Software erfüllt wird.

Was nun? Alle externen Verbindungen kappen und die Cloud abschalten?

Vermutlich wäre diese Forderung übertrieben und nicht erfüllbar. Viele Geschäftsprozesse sind bereits so tief mit der Cloud verankert, dass das Unternehmen zumindest vorerst zum Erliegen käme. Daher möchten wir Sie auf die Bedeutung der Sicherheit (auch in der Cloud) hinweisen und einige Empfehlungen teilen bzw. daran erinnern:

Genau prüfen: Bevor Sie einen Clouddienst nutzen, sollten Sie diesen genau prüfen. Welche Sicherheitsmechanismen sind implementiert? Wie werden Ihre Daten verschlüsselt? Wer hat Zugriff auf Ihre Informationen? Eine Prüfung in aller Tiefe wird nicht möglich sein und am Beispiel von Microsoft wird auch deutlich, dass dies am Ende auch keine Sicherheitsgarantie darstellt.

Eigene Maßnahmen: Unternehmen sollten daher auch eigene Sicherheitsmaßnahmen etablieren. Dazu gehören regelmäßige Sicherheitsaudits, die Überwachung von Zugriffsrechten und die Schulung der Mitarbeiter. Dadurch können Konfigurations- und Anwendungsfehler im eigenen Verantwortungsbereich reduziert oder verhindert werden.

Datenschutz und Datensicherheit: Datenschutz und Datensicherheit sollten Hand in Hand gehen. Achten Sie darauf, dass personenbezogene Daten nur zweckgebunden und rechtmäßig verarbeitet werden. Zudem sollte ein potenzieller Dienstleister VOR der Beauftragung gem. Punkt 1 überprüft werden. Oft genug werden beispielsweise auch wir erst über einen neuen Dienstleister informiert, wenn die Lösung längst im Einsatz ist. Rückwirkend einen bereits laufenden Prozess zu prüfen führt zu Mehraufwand und in der Regel möchte man als Unternehmen den bereits etablierten Workflow nicht wieder verändern.

Sichere Datensicherung: Ein Vorfall ist nie ausgeschlossen. Daher ist eine sichere und unveränderbare Datensicherung besonders wichtig. Stellen Sie sicher, dass im Worst-Case-Szenario eine Wiederherstellung Ihrer Daten möglich ist. Denken Sie dabei nicht nur an die Daten auf Ihren lokalen Servern. Wer sich mit den Nutzungsbedingungen und SLAs der großen Cloudanbieter beschäftigt, stellt schnell fest, dass ein vollwertiges Backup mit Zusicherung der Wiederherstellbarkeit in der Regel nicht Teil der erbrachten Leistung ist. Wird in der Cloud etwas gelöscht, dann ist es in vielen Fälle dauerhaft und unwiederbringlich weg!

Wir hoffen, dass diese Zusammenstellung an Sicherheitsvorfällen der letzten Monate auch bei Ihnen für eine gewisse Sensibilisierung sorgen und der Einsatz von Fremdanbietern zumindest kritisch hinterfragt wird. Uns ist klar, dass nicht plötzlich alle Prozesse wieder ins Unternehmen zurückgeholt werden können, aber vielleicht helfen die Hinweise Ihnen dabei, Ihre Daten sicherer zu verwahren. Bleiben Sie wachsam und setzen Sie die richtigen Maßnahmen ein, um Ihre Informationen zu schützen.

Wir unterstützen Sie dabei gerne!

Der Beitrag Sicherheit in der Cloud – Wachsamkeit und Schutzmaßnahmen sind notwendig! erschien zuerst auf CompliPro GmbH.