Infiltrieren, anpassen, wiederholen: ein Blick auf die Malware-Landschaft von Morgen

/0 Kommentare/in /von

Was würden Sie sagen, wenn ich Ihnen erzähle, dass Malware-Angriffe insgesamt zurückgehen, aber dass neue Malware-Varianten auf dem Vormarsch sind? Laut dem Report von SonicWall zu Cyberbedrohungen 2021 sind Malware-Angriffe im Vergleich zu ihrem Höchststand vor drei Jahren gesunken. 2020 verzeichneten sie insgesamt einen Rückgang von 43 %. Das klingt zwar gut, aber SonicWall hat bei neuen und aktualisierten Malware-Varianten, die nicht von herkömmlichen Abwehrmaßnahmen auf der Basis statischer Definitionen erfasst werden, eine Zunahme von 73 % festgestellt.

Angesichts der aktuellen Entwicklung gehen wir von einer Fortsetzung dieses Trends in der nahen Zukunft aus. Aber warum passiert das – und was bedeutet es? Meiner Meinung nach gibt es zwei Gründe für diese aktive Bedrohungslandschaft: die vielen neuen Akteure und die schnellere Entwicklung.

Neue Akteure

Bei der Recherche für meinen RSA-Vortrag über die Art und Weise, wie die jüngste Generation das Hacken lernt, habe ich herausgefunden, dass die Fernsehserie Mr. Robot viele Fans hervorgebracht hat, die alle das Hacken lernen möchten. Diese Hacker setzen sich schon in jungen Jahren mit dem Thema auseinander und verfügen im Vergleich zu vorherigen Generationen über mehr Ressourcen. Es gibt für sie viele sichere Orte, an denen sie ihre Fähigkeiten testen können, z. B. „Hack the Box“, aber im Laufe der Zeit möchten sie ihre neuen Fähigkeiten an echten Unternehmen testen. Die Verantwortungsbewussteren unter ihnen werden anbieten, Penetrationstests durchzuführen, während andere sich lieber mit der Entwicklung von Malware beschäftigen und echte Angriffe starten.

Fast alle neuen Akteure möchten etwas eigenes auf die Beine stellen und herausfinden, wie sie unsere Anti-Malware-Lösung umgehen können. Fast alle, die ich im letzten Jahr interviewt habe, beschäftigen sich mit Ransomware. Das würde erklären, weshalb SonicWall 2020 einen Anstieg von 62 % bei dieser Art von Malware registrierte. Die neu entwickelten Varianten sind erschreckend gut. Die Zeit, als fiktive Charakter als Idole verehrt wurden, ist vorbei. Jetzt gehen die jungen Hacker selbst zum Angriff über. Im Fall von Hildacrypt haben sie anstelle einer eigenen Petya-Version eine Variante entwickelt, die auf die Taktiken der SamSam-Ransomware-Entwickler setzt.

Schnellere Entwicklung

Andere Banden schließen sich mit Hackern zusammen, um Ransomware und andere Arten von Malware mit unterschiedlichen Modulen (z. B. böswillige Bootloader, Runner, Decodierer usw.) zu entwickeln und im realen Einsatz zu testen. Nach einer Angriffswelle rufen sie VirusTotal auf, um nachzusehen, ob ihre Variante erkannt wurde. Sobald sie enttarnt sind, nehmen sie Änderungen am Code vor, damit die verwendeten Dateien andere Hashwerte bilden (Dateien werden von Computern durch Hashing identifiziert). Auch die Leistung einer Variante wird verbessert, um sie effektiver zu machen.

Danach startet der nächste Angriff und der Zyklus wiederholt sich. Zum Beispiel kamen in den ersten Wochen mit größeren WannaCry-Angriffen zahlreiche Versionen heraus. VirusTotal ist in puncto Malware-Erkennung nicht unbedingt der Weisheit letzter Schluss. Da es aber die bekannteste Plattform ist, prüfen Angreifer häufig, wann ihre Varianten registriert werden, was in der Regel zwei bis drei Tage dauert. Danach müssen sie einen Gang zurückschalten. Mit diesen Informationen entwickeln sie neue Umgehungstaktiken, basierend darauf, wer sie zuerst erkannt hat. Anschließend arbeiten sie sich rückwärts weiter und erstellen die Versionen 2, 3, 4 usw.

Im Laufe der Zeit wechseln diese Malware-Entwickler von einem Projekt zum Projekt anderen und bringen ihr Können und ihre Erfahrung bei der Entwicklung neuer Malware-Varianten in neuen Teams ein. Wenn sie selbst ein Problem mit der Erstellung eines Moduls haben oder ihnen die Problembehandlung schwer fällt, gibt es einen aktiven Markt mit günstigen Angeboten, um vorhandene Lücken zu schließen. Heute ist es dank Kryptowährungen einfacher, über Ransomware bezahlt zu werden und dann für Hilfe bei der Entwicklung von Code zu bezahlen. In absehbarer Zukunft werden sich deshalb immer mehr Menschen mit der Entwicklung von Malware beschäftigen. Somit ist auch mit vielen neuen Varianten zu rechnen.

Die Malware der Zukunft stoppen

Das Thema Advanced Persistent Threats geht weit über Ransomware hinaus. Heiß begehrt ist weiterhin, wie auch schon früher, das Herausschleusen von Daten aus Unternehmen. Ich habe immer schon gesagt, dass Sie am besten Ihr Budget für die IT-Sicherheit festlegen können, indem Sie sich selbst fragen, welchen Wert Ihre Daten für Angreifer haben. Viele von uns schützen Daten übermäßig, die für Angreifer keinen großen Nutzen haben, übersehen dabei aber den Schutz anderer wichtiger Daten, die für uns einen geringeren Wert haben. Unsere Kundendaten und unser geistiges Eigentum zählen beispielsweise zu den Dingen, die wir als erstes schützen.

Wenn es darum geht, den Netzwerkschutz zu verbessern, betrachten wir zunächst das Netzwerk, dann die Verbindungen und die Endpoints und schließlich den Pfad in die Cloud.

Ohne jetzt zu sehr ins Detail gehen zu wollen, beginnen wir normalerweise mit der Überprüfung des eingehenden Netzwerkverkehrs. Weil 70 % der Sitzungen heute verschlüsselt werden, überprüfen wir auch diesen Traffic sehr genau. Als Nächstes befassen wir uns damit, wie wir unbekannte Malware scannen, die von herkömmlichen Next-Generation-Firewalls nicht erkannt wird. Sandboxing-Engines gibt es bereits seit 2011. Heute sind sie in der Lage, Malware übergreifend über mehrere Engines zu scannen – auch im Arbeitsspeicher. Bei dateilosen Attacken wählen viele Angreifer diesen Ort als Ausgangspunkt, um zu vertuschen, wie sie in das Netzwerk gelangt sind und um von der Sicherheitssoftware unentdeckt und unbehelligt zu bleiben.

Würden Sie glauben, dass Kunden mithilfe von Capture ATP und Real-Time Deep Memory Inspection (RTDMI) 1.400 bis 1.600 neue Arten von Malware an jedem Geschäftstag ausfindig machen, viele davon mit zahlreichen Umgehungstaktiken?

SonicWall ist seit 30 Jahren im Bereich der IT-Sicherheit führend. Daher haben wir praktisch alles schon gesehen. Wir haben uns von einem Firewall-Anbieter zu einem Unternehmen entwickelt, das eine der weltweit führenden Sicherheitsplattformen anbietet. Wir haben WannaCry bekanntlich drei Wochen, bevor der erste größere Angriff bemerkt wurde, gestoppt. Wir haben verschiedene neue Varianten im Rahmen unserer Forschung gefunden und benannt und entwickeln weiterhin neue und bessere Technologien, um Sie beim Erkennen und Stoppen unbekannter Zero-Day- und neuer Angriffe auf Ihr Netzwerk zu unterstützen.

IT-Sicherheit für Schulen: Neue Anforderungen. Eingeschränkte Ressourcen. Ungenutzte Fördergelder.

/0 Kommentare/in /von

Herausforderungen für die IT-Sicherheit an Schulen

Neue Anforderungen. Eingeschränkte Ressourcen. Ungenutzte Fördergelder. Schulen sehen sich mit mehr Netzwerk-, Mobilitäts- und Sicherheitsherausforderungen konfrontiert als je zuvor – während Cyber-Bedrohungen von Tag zu Tag zunehmen. Um trotz allem sichere Unterrichts- und Fernunterrichtserfahrungen zu bieten, müssen Schulen drahtlose Netzwerke, Cloud-Apps und Endpunkte sichern und gleichzeitig die Budgets durch verschiedene Fördergelder strecken.

In unserer Übersicht SonicWall Lösungen für Schulen sehen Sie, mit welchen Herausforderung sich Schulen im Alltag konfrontiert sehen und wie SonicWall hierbei unterstützen kann:

DigitalPakt Schule

Mit dem DigitalPakt Schule unterstützt der Bund die Länder und Gemeinden bei Investitionen in die digitale Bildungsinfrastruktur. Ziel des Digitalpaktes ist der flächendeckende Aufbau einer zeitgemäßen digitalen Bildungsinfrastruktur unter dem Primat der Pädagogik.

Als Folge der Corona-Pandemie wurde der DigitalPakt Schule im Jahr 2020 um drei Zusatzvereinbarungen (ZV) im Umfang von insgesamt 1,5 Mrd. Euro erweitert.

Digitalpakt Schule – so erhalten Sie Förderung

In diesem Video wird der schematische Ablauf beschrieben, die Einzelheiten werden von den Ländern geregelt. Mehr Informationen zum Thema Fördergelder finden Sie auf der Seite des Bundesministeriums für Bildung und Forschung.

Planung, Konzeption und Beratung

Aufgrund des engen Bezuges zur Technik sollte das Ausstattungskonzept im intensiven Dialog zwischen Schulträgern, technischen Dienstleistern und Lehrkräften erarbeitet werden. Bei speziellen Anforderungen können auch weitere Stellen einbezogen werden, beispielsweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

SonicWall unterstützt Sie auf dem Weg von der Entscheidung für die Idee der Digitalen Bildung bis zur konkreten Umsetzung im Schulalltag im direkten Austausch bei Ihren Planungen und Entscheidungen im Beschaffungsprozess.

Infrastruktur des Schulgebäudes

Die Infrastruktur des Schulgebäudes stellt die unterste technische Ebene dar. Sie beinhaltet neben der Bereitstellung von Räumen und der Energieversorgung folgende Bereiche:

WAN

Die Nutzung digitaler Onlineangebote setzt die Anbindung der Schule an das Internet voraus. Diese Anbindung wird über das WAN realisiert. Es handelt sich dabei um den Internetanschluss der Schule. Dieser Anschluss kann auf Basis unterschiedlicher Techniken ausgeführt werden (Funk, Kupferkabel, Glasfaser), wobei die Umsetzung für die Schule keinen unmittelbaren Einfluss hat.

LAN

Die Vernetzung der einzelnen Geräte innerhalb der Schulgebäude erfolgt – falls erforderlich – kabelgebunden über LAN. Klassen- und Funktionsräume werden dabei mittels strukturierter Verkabelung angebunden.

WLAN

Die Nutzung mobiler Endgeräte wie Notebooks, Tablets und Smartphones setzt ein ausreichend leistungsfähiges Funknetzwerk als WLAN voraus.

Anwendungsszenario

Um Ihnen die Zusammensetzung besser veranschaulichen zu können, beschreiben wir hier ein fiktives Fallbeispiel einer IT-Infrastruktur an einer Schule:

Die IT-Abteilung kann eine SonicWall NSsp-Firewall in einer Stadtverwaltung sowie NSa- oder TZ-Firewalls in den Schulen einsetzen, die über Site-2-Site VPN Verbindungen miteinander vernetzt sind. Für die Remote- oder Heimanwender kann ein SSL-VPN Gateway (SMA) genutzt werden.

Der SonicWall Content Filtering Service blockiert den Zugriff von Schülern auf schädliche Websites auf dem Campus oder zu Hause, während der SonicWall Capture Client die Sicherheit auf den Geräten von entfernten oder zu Hause arbeitenden Lehrkräften ausdehnt.

Verwenden Sie eine TZ- oder NSa-Firewall und einen SonicWall Switch, um Verbindungen zu Wireless Access Points, IP-Telefonen, Kameras und mehr herzustellen.

Unsere Wireless Accesspoints, die sogenannten „SonicWaves“ können von der Firewall losgelöst und über die Cloud mit dem WiFi Cloud Manager verwaltet werden. Cloud App Security schützt SaaS Applikationen.  Über ein im Rechenzentrum betriebenes SSL-VPN Gateway (SMA) wird der sichere Zugriff auf Netzwerke und/oder Anwendungen bereitgestellt. Diese Technologie ermöglicht das sichere unterrichten von zu Hause aus. Der Network Security Manager ermöglicht dabei ganz einfach die Verwaltung der gesamten Sicherheitsplattform aus einer Hand.

Die IT Anforderungen eines Schulträgers oder jeder einzelnen Schule müssen individuell bewertet werden – hierfür stehen wir Ihnen zusammen mit unseren fachkompetenten Partner jederzeit beratend zur Seite.

Neue Folge des SonicWall IT-Security Podcasts „Grenzenlos sicher?“: Von der Tafel zum Tablet – IT Sicherheit und Digitalisierung an deutschen Schulen

In der ab 21.05.2021 erscheinenden Episode unseres IT-Security Podcasts von SonicWall setzen sich unsere beiden Experten Timo Lüth und Silvan Noll von ganz unterschiedlichen Standpunkten aus mit dem Thema IT-Sicherheit und Digitalisierung an Schulen auseinander. In dieser Folge zu Gast ist Peter Klien, der viele Jahre Erfahrung beim SonicWall Platinum Partner Axsos im Umgang mit Cybersicherheit an Schulen gesammelt hat. Zusammen bringen sie nicht nur den Blick seitens des Cybersecurity Herstellers in die Diskussion ein, sondern auch den Standpunkt der Eltern, der Schule und der des Systemhaus-Partners.

Hören Sie in dieser Episode unter anderem, mit welchen Problemen sich Schulen und auch Eltern in der Praxis konfrontiert sehen, welche Fördermittel es aktuell gibt und warum das Thema auch nach der Pandemie noch genauso wichtig sein wird.

Sie möchten mehr zum Thema IT Sicherheit für Schulen erfahren?

„Hallo, mein Name ist Thomas Meischen, ich arbeite seit 2 Jahren bei SonicWall und als Senior Territory Account Manager bin Ihr Ansprechpartner Rund um das Thema Cybersecurity an Schulen. Ich verfüge über mehr als 30 Jahre IT-Erfahrung und dies zum größten Teil in der IT Security. Ich freue mich auf ein persönliches Gespräch mit Ihnen – schreiben Sie mich gerne per E-Mail an. “

Weitere Informationen zum Thema Education finden Sie auf der SonicWall Website.

Krankenhauszukunftsgesetz (KHZG) und Cybersecurity – profitieren auch Sie von den staatlichen Zuschüssen?

/0 Kommentare/in /von

Das Krankenhauszukunftsgesetz – profitieren auch Sie von der 4.3 Mrd € Förderung?

Das Krankenhauszukunftsgesetz, über dessen Basis nach dem Beschluss seit dem 01.01.2021 die Gelder ausgeschüttet werden, soll die Digitalisierung der Infrastruktur in Krankenhäusern vorantreiben. Mit dem Gesetz wird das durch die Koalition am 03.06.2020 beschlossene „Zukunftsprogramm Krankenhäuser“ gefördert und das KHZG ist am 29.10.2020 offiziell in Kraft getreten.

Dieses Vorhaben wird inzwischen mit insgesamt 4.3 Milliarden Euro gefördert. Die Länder und/oder die Krankenhausträger übernehmen dabei 30 % der jeweiligen Investitionskosten. Vorhaben an Hochschulkliniken können ebenfalls mit bis zu 10% des Fördervolumens des jeweiligen Landes gefördert werden.

Was genau wird gefördert?

„Gefördert werden Investitionen in moderne Notfallkapazitäten und eine bessere digitale Infrastruktur, z.B. Patientenportale, elektronische Dokumentation von Pflege- und Behandlungsleistungen, digitales Medikationsmanagement, Maßnahmen zur IT-Sicherheit sowie sektorenübergreifende telemedizinische Netzwerkstrukturen. Auch erforderliche personelle Maßnahmen können durch den KHZF finanziert werden.“ (Auszug aus dem KHZG)

Hierunter fallen somit u.a. die CyberSecurity Investitionen der Krankenhäuser, die durch Bund und Länder unterstützt werden sollen.

Wie sieht der Zeitplan für diese Förderung aus?

Noch bis 31.12.2021 können durch die Länder Anträge beim BAS gestellt werden. Einen genauen Zeitplan finden Sie auf der Seite des Bundesgesundheitsministeriums:

Cybersecurity Maßnahmen für den Healthcare Bereich: z.B. im Netzwerk, bei Fernzugriff und bei Next-Gen Firewalls

Immer häufiger kommt es im Bereich Healthcare zu schweren Vorfällen. Im vergangenen Jahr hatte in Düsseldorf ein solcher Cyber Angriff auf das Netzwerk sogar ein Todesopfer zur Folge.  Ein Praxisbericht zur aktuellen Situation in Krankenhäusern findet sich hierzu im Handelsblatt.

Um schwerwiegende Szenarien wie dieses zu verhindern fördert der Bund den IT-Schutz u.a. in Krankenhäusern, Kliniken, Reha- und Pflegeeinrichtungen.

Empfohlene Maßnahmen für oftmals veraltete und nicht mehr zeitgemäße Hardware (z.B. durch fehlende Updates) sind unter anderem Wireless Access Points für das Patienten-Netz, das Netz für den internen Krankenhausbetrieb oder die Übertragung der medizinischen Daten von Intensivgeräten. All dies sind gern genutzte Eintrittspunkte für Hacker und Schadsoftware. Auf vielen Intensivgeräten sind noch veraltete Betriebssysteme im Einsatz, trotzdem müssen diese Geräte an das interne Netz angeschlossen bleiben. Zudem ist seit dem Beginn der Pandemie der Homeoffice- oder Remote-Zugriff eine zusätzliche große Bedrohung. Die Sensibilisierung der Mitarbeiter ist dabei ebenso wichtig wie die Technologie selbst.

Anbei eine schematische Darstellung, über welche Einfallstore Angriffe üblicherweise stattfinden und wie das Konzept der Multi-Layer-Protection von SonicWall im Rahmen der Boundless Cybersecurity diese abwehrt:

Ebenfalls gefördert: Cybersecurity in KRITIS Einrichtungen

Ab diesem Jahr kommen weitere Herausforderungen speziell auf die Einrichtungen zu, die zukünftig unter das Thema „Kritische Infrastrukturen“/KRITIS fallen.

Förderfähig sind laut Auszug des BGM folgende Organisationen: „Krankenhäuser, die Kritische Infrastrukturen darstellen, sind von den Fördermaßnahmen des Krankenhauszukunftsgesetzes grundsätzlich erfasst. Speziell für Vorhaben, durch die eine Verbesserung der IT- bzw. Cybersicherheit erreicht werden soll (§ 19 Absatz 1 Satz 1 Nummer 10 KHSFV), gilt jedoch, dass Krankenhäuser, die als Kritische Infrastrukturen nach dem Krankenhausstrukturfonds (§ 12a Absatz 1 Satz 4 Nummer 3 KHG in Verbindung mit § 11 Absatz 1 Nummer 4 Buchstabe a KHSFV) förderfähig sind, von der Förderung über den Krankenhauszukunftsfonds ausgeschlossen sind. Dadurch soll eine Doppelförderung ausgeschlossen werden.“

Fragen und Antworten zum Gesetzestext des KHZG finden sich auf der Seite des Bundesgesundheitsministeriums. Den Gesetzestext des KHZG können Sie ebenfalls dort downloaden.

SonicWall Boundless Cybersecurity – ein Fallbeispiel aus der Praxis eines Krankenhauses

Wie die SonicWall Boundless Cybersecurity als gesamtheitlicher Ansatz bei einem Krankenhaus aussehen kann, erläutern wir Ihnen gerne am Fallbeispiel eines realen Krankenhausprojekts in Nordrhein-Westfalen:

Der Kunde nutzt für seinen Hauptstandort ein SonicWall Next-Generation NSa 6650 HA Firewall Cluster, unterstützt wird dieses von den SonicWall TZ470 Firewalls zur Segmentierung der weiteren Standorte. Der SonicWall NSM (Network Security Manager) ist die Zentrale für Management, Reporting und Analyse des gesamten Netzes inkl. der SonicWall Switche zur Segmentierung. Die Wireless Access Points SonicWave aus der 400er Serie decken das kabellose Netzwerk ab, welches in Patientennetz, internes Krankenhausnetz und den sensiblen Bereich Intensivmedizin unterteilt wird. Insgesamt könnten bis zu acht Netze mit Security Features realisiert werden. Des Weiteren hat der Kunde eine E-Mail Security Appliance im Einsatz, welche SPAM und AV Schutz für eingehende E-Mails liefert. Für den Remote Zugriff setzt der Kunde die SonicWall SMA (Secure Mobile Access) 8200v auf seiner eigenen VMware Umgebung als Virtuelle Appliance ein. Diese garantiert eine problemlose Umstellung zwischen Homeoffice oder dem Arbeiten vor Ort im Krankenhaus – insbesondere für die Krankenhausverwaltung während der Lockdown-Phasen in der Pandemie – und erlaubt ein sehr granulares Konzept der Zugriffsregelung, auch für Dienstleister, die nur auf bestimmte Netzbereiche Zugriff erhalten sollen um z.B. Remote-Updates zu fahren. Mit der SMA Lösung kann man Fremdgeräte ebenso wie Trusted-Devices kontrollieren und sicherstellen, dass kein unerlaubter Zugriff von außen stattfindet. Der Kunde setzt ein fast vollständiges Konzept aus dem SonicWall Produktportfolio ein – einheitlich über eine Konsole gesteuert und überwacht.

Sehen Sie hierzu auch unser Video, das das Boundless Cybersecurity Konzept in nur 10 Minuten anschaulich erklärt:

Welche SonicWall Produkte eigenen sich besonders zum Schutz von Krankenhäusern?

In der Praxis zeigt sich, dass die Herausforderungen von Krankenhäusern vor allem mit den folgenden SonicWall Lösungen sicher abgedeckt werden können:

Übrigens: Unsere ATP (Advanced Threat Protection) hat im ICSA Labs Test 100% der unbekannten Bedrohungen entdeckt – bei 0 Fehlalarmen! Ein perfektes Ergebnis – lesen gerne mehr dazu in unserem Blog.

Sie möchten mehr zum Thema Sicherheit und Lösungen für den Krankenhausbetrieb erfahren?

„Hallo, mein Name ist Marcus Lind, als Enterprise Account Manager bei SonicWall bin ich Ihr Ansprechpartner Rund um das Thema Cybersecurity für den Bereich Healthcare. Mit meiner langjährige Erfahrung in der Hardware- und IT-Security Branche sowie im KRITIS Umfeld berate ich Sie gerne hinsichtlich Ihrer individuell Anforderungen im Gesundheitssektor.

Ich freue mich auf den Austausch mit Ihnen– schreiben Sie mich gerne per E-Mail an. “

Besuchen Sie unsere SonicWall Website oder tauschen Sie sich gerne auch direkt mit unseren Sicherheitsexperten aus. Gemeinsam unterstützen wir hierbei und schaffen Lösungen, um Ihre Einrichtung maximal vor Angriffen zu schützen!