Blog Datensicherheit

PoS-Cyber-Attacken: Malware ist nicht, wofür Sie sie halten

EIN BLOGBEITRAG VON ANDY GREEN, VARONIS Die Schlagzeilen der letzten Monate haben gezeigt, dass Hacker immer erfinderischer werden, wenn es darum geht, Firewalls zu umgehen und Verkaufsterminals sowie Backend-PoS-Server direkt...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    EIN BLOGBEITRAG VON ANDY GREEN, VARONIS

    Die Schlagzeilen der letzten Monate haben gezeigt, dass Hacker immer erfinderischer werden, wenn es darum geht, Firewalls zu umgehen und Verkaufsterminals sowie Backend-PoS-Server direkt anzugreifen. Wenn die IT Angreifer nicht daran hindern kann, durch die Haustür hereinzuspazieren, gibt es dann eine zweite Verteidigungslinie, die den Schaden zumindest begrenzt?

    Die Vorgehensweise bei den großen Hacker-Attacken auf PoS-Systeme war relativ einfach. Mithilfe von Phishing oder dem Erraten von Passwörtern gelangten die Angreifer auf den Desktop oder Laptop eines Nutzers. In einem Fall war wohl auch SQL-Injection mit im Spiel. Ebenfalls eine Methode, die sich bewährt hat.

    Bei sämtlichen Angriffen dieser Art ist es den Cyber-Kriminellen gelungen, die Penetrationstests und Abwehrmaßnahmen zu umschiffen, für die Unternehmen hunderte Millionen Dollar bzw. Euro ausgegeben hatten.

    Wie ich bereits in einem meiner letzten Blog-Einträge erläutert habe, kommt herkömmliche Antiviren-Software mit aktuellen Signaturen nicht mehr hinterher. In manchen Fällen verfügt die Malware über integrierte Tarnfunktionen, an denen grundlegende Strategien zum Aufspüren von Schadprogrammen scheitern.

    Doch hinter diesen Attacken verbirgt sich noch mehr.

    Die Kunst der Tarnung
    Bei der Analyse zahlreicher Fälle aus der Praxis konnte ich beobachten, dass Hacker schon fast reflexartig nach Schwachstellen bei der Authentifizierung suchen, sobald sie in ein Netzwerk gelangen – und zwar mithilfe von Pass the Hash, Rainbow Tables usw.

    Der „Data Breach Investigations-Report“ von Verizon liefert harte Zahlen dazu: Bei etwa 80 % der Hacking-Angriffe kommen passwortbasierte Verfahren in irgendeiner Form zum Einsatz.

    Die Strategie der Hacker besteht darin, sich die Zugangsdaten möglichst vieler Nutzer unter den Nagel zu reißen. Während sie also ein System durchforsten und von Server zu Server springen, nimmt die Überwachungssoftware sie lediglich als ganz normale Nutzer wahr. Das übergeordnete Ziel: die Zugangsdaten eines Power-Users mit erweiterten Zugriffsrechten zu ergattern und so an die Server mit den wertvollsten Daten heranzukommen.

    Aktuell ist die Befehlszeile das bevorzugte Malware-Tool der Hacker: Sie kopieren die Dateien auf einen bestimmten Server, von dem die Kreditkartendaten schließlich entwendet werden (lesen Sie dazu auch unseren Blog-Eintrag zum unbemerkt ablaufenden Export von Daten).

    Was genau ist Malware?
    Das führt uns zu einem der größten Probleme: Die Grenze zwischen Malware und IT-Software verschwimmt. Einmal erfolgreich im System angekommen verwenden Hacker nicht selten dieselbe Software wie die IT-Sicherheitsteams selbst.

    In der Hacker-Trickkiste befinden sich Tools wie PWDump (zum Extrahieren von Hash-Werten), NetView (zum Mappen von Netzwerkverbindungen), Psll (zum Auflisten von Prozessen) und CheckSQL (zum Hacken von SQL-Konten mittels Brute-Force-Attacken). Diese Tools fallen in eine Grauzone und gehören häufig genauso zum Repertoire von Systemadministratoren. Ihre Existenz ist also nicht unbedingt ein Signal dafür, dass ein System angegriffen wurde.

    Für Sie heißt das: Wenn Sie Standard-Intrusion-Detection-Systeme zum Aufspüren der oben genannten „Malware“-Liste verwenden verfolgen Sie möglicherweise viele falsche Spuren.

    Machen Sie den ersten Schritt
    Wie so oft gibt es auch hier unterschiedliche Ansätze, um das Risiko zu minimieren. Wenn die Cyber-Diebe einmal die erste Schutzmauer durchbrochen haben, sehen manche die Situation als ein ganz normales Perimeterproblem – und zwar als ein internes, das sich am besten mit einer besseren Netzwerkarchitektur lösen lässt (d. h. die PoS-Server und -Terminals werden von allem anderen getrennt).

    Andere – mich eingeschlossen – sind der Ansicht, dass sich die Sicherheitsmaßnahmen darauf konzentrieren sollten, die Betriebssystemebene zu verteidigen.

    In Gesprächen mit Sicherheitsexperten eines Antiviren-Software-Herstellers habe ich festgestellt, dass hinsichtlich einiger Maßnahmen zur Schadensbegrenzung allgemeine Übereinstimmung herrscht.
    Nach der Durchsetzung strenger Passwortrichtlinien steht als nächstes auf der To-do-Liste, den Remote-Zugriff auf die Computer normaler Nutzer einzuschränken.

    Warum sollte man das tun?
    remote desktop
    Es geht darum, die Eindringlinge daran zu hindern, sich im Netzwerk zu bewegen. Leider sind die Remote-Desktop-Dienste in vielen Windows-Umgebungen ständig aktiviert, so dass Hacker sie bequem nutzen und sogar über die Befehlszeile starten können.

    Das Risiko lässt sich allerdings senken, indem man die Anzahl der Nutzer und Computer, die sich über RDP verbinden können, eingeschränkt. Administratoren können dazu mit dem Gruppenrichtlinienobjekt-(GPO-)Editor zu Windows-Komponenten | Remotedesktop-Sitzungshost | Verbindungen navigieren (siehe Grafik). Zusätzlich sollten sie eine Netzwerkrichtlinie für das Zuweisen von Benutzerrechten konfigurieren. Wie das genau funktioniert, erfahren Sie hier.

    The post PoS-Cyber-Attacken: Malware ist nicht, wofür Sie sie halten appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    warum-sie-ihre-passwörter-für-sich-behalten-sollten
    Warum Sie Ihre Passwörter für sich behalten sollten
    warum-sie-ihre-passwörter-für-sich-behalten-sollten
    Michael Buckbee
    8. Juni 2012
    von Rob Sobers Vielleicht haben Sie in den letzten Wochen in den Medien gehört, dass manche Arbeitgeber die Zugangsdaten ihrer Mitarbeiter für Facebook oder andere soziale Netzwerke wissen wollen. Verletzen...
    machen-sie-ihre-dsgvo-hausaufgaben-und-reduzieren-sie-damit-die-gefahr-von-strafzahlungen!
    Machen Sie Ihre DSGVO-Hausaufgaben und reduzieren Sie damit die Gefahr von Strafzahlungen!
    machen-sie-ihre-dsgvo-hausaufgaben-und-reduzieren-sie-damit-die-gefahr-von-strafzahlungen!
    Michael Buckbee
    5. Januar 2018
    Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei...
    bei-der-datensicherheit-sind-sie-nur-so-stark-wie-ihr-schwächstes-glied
    Bei der Datensicherheit sind Sie nur so stark wie Ihr schwächstes Glied
    bei-der-datensicherheit-sind-sie-nur-so-stark-wie-ihr-schwächstes-glied
    Michael Buckbee
    30. Mai 2012
    von Rob Sobers Reporter: „Warum rauben Sie Banken aus?“ Willie Sutton (Bankräuber): „Weil dort das Geld liegt.“ Das ist Sutton’s Law. Es scheint trivial zu sein, doch es trifft genau...
    kosten-für-verstöße-sind-hoch.-warum-fragen-sie?
    Kosten für Verstöße sind hoch. Warum fragen Sie?
    kosten-für-verstöße-sind-hoch.-warum-fragen-sie?
    Michael Buckbee
    10. April 2013
    von Andy Green Courtroom Laut Aussagen der Angestellten beim Identity Theft Research Center (ITRC) wurden im letzten Jahr fast 450 Verstöße und über 17 Millionen verlorene Kundendaten von amerikanischen Unternehmen, Behörden, Universitäten und...