Stand: 27.02.2023
In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben.
Schwachstelle in VMware ESXi
Laut einer BSI-Meldung aus dem Februar 2023 wurden bei einem weltweiten Angriff tausende Server, auf dem die Virtualisierungslösung ESXi des Anbieters VMware eingesetzt wird, mit Ransomware infiziert und verschlüsselt. Dabei haben die Cyberkriminellen eine bereits seit längerem bekannte Schwachstelle im OpenSLP Service der Anwendung ausgenutzt. Der Hersteller hatte bereits im Februar 2021 über die Sicherheitslücke informiert und ein Patch veröffentlicht. Erste Analysen wiesen darauf hin, dass infizierte Systeme aufgrund der fehlerfreien Verschlüsselung nicht wiederhergestellt werden können. Anfang Februar 2023 hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) allerdings ein Skript zur Verfügung gestellt, das ausgewählte kompromittierte Systeme wiederherstellen kann. Das französische CERT (CERT-FR) bestätigte, dass insbesondere dann eine Chance zur Wiederherstellung bestehe, wenn lediglich Konfigurationsdateien (.vmdk) verschlüsselt und mit der Erweiterung .args umbenannt wurden.
Geheimnisse bei Cisco VPN in Klartext auslesbar
Geräte mit dem Betriebssystem Cisco IOS und Cisco IOS XE können in bestimmten Fällen Schlüsselmaterial im Klartext ausgeben. Der Vertrieb der Betriebssysteme erfolgt aufgrund von Exporteinschränkungen in zwei Versionen, wobei eine die Verschlüsselung von Netzwerk-Nutzdaten (universalk9) unterstützt und der anderen (universalk9_npe) die meisten kryptographischen Funktionen fehlen („No Payload Encryption“, NPE). Werden Befehlen zur Konfiguration von kryptographischen Funktionen auf einem NPE-System ausgeführt, kommt es zu einer Fehlermeldung auf der jeweiligen Kommandozeile. Wird die zuletzt gespeicherte Konfiguration (startup-config) während des Bootvorgangs eingelesen, geschieht dies auf der Konsole. Wird in einem System mit bestehender Konfiguration für eine betroffene kryptographische Funktion mit einem NPE-Image gestartet, können in der Fehlermeldung vertrauliche Informationen, wie beispielsweise Schlüsselmaterial für VPN-Verbindungen, im Klartext ausgegeben werden. Das BSI empfiehlt Betreibern, eingesetzte Produkte zu prüfen und die von Cisco beschriebenen Maßnahmen zeitnah zu berücksichtigen.
Sicherheitslücke in Control Web Panel
Der IT-Sicherheitsforscher Numan Türle von Gaus Cyber Security veröffentlichte Anfang Januar 2023 einen Proof of Concept (PoC) zu einer Schwachstelle in der Server-Verwaltungssoftware Control Web Panel (CWP). Die Sicherheitslücke ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Code auf dem betroffenen System auszuführen. In Folge der Veröffentlichung fanden bereits nach wenigen Tagen Angriffsversuche auf verwundbare Systeme statt, bei denen verschiedene Vorgehensweisen beobachtet werden konnten (z. B. Installation von Shells, Sammeln von Informationen). Das BSI empfiehlt, das bereits im Oktober 2022 bereitgestellt Update des Entwicklers schnellstmöglich zu prüfen und zu installieren. Zudem sollten Log-Dateien geprüft werden.
Bedrohung durch „Smishing“ immer noch hoch
Das BSI warnt immer noch vor SMS-Phishing, kurz Smishing. Bei dieser Betrugsmethode versuchen Cyberkriminelle über SMS-Nachrichten Smartphone-Nutzer mit betrügerischen SMS entweder zur Übermittlung persönlicher Daten zu verführen oder Schadsoftware auf den Geräten zu installieren. Um ihr Ziel zu erreichen, platzieren die Kriminellen in den SMS-Nachrichten meist einen Link.
Folgendes ist hierbei zu beachten:
- nicht auf den Link klicken
- Absender/in sofort in den Kontakten sperren
- über Mobilfunk-Anbieter die sogenannte Drittanbietersperre aktivieren
- neue Apps ausschließlich über die offiziellen App-Stores herunterladen
- bei Geräten mit Android-Betriebssystem den Download von Apps aus unbekannten Quellen in den Einstellungen des Geräts deaktivieren
- regelmäßige Installation aller angebotenen Updates für Ihre mobilen Geräte
Neue Bedrohungen durch „Quishing“
Aktuell warnt das BSI zusätzlich noch vor einer neuen Variante des Onlinebetrugs, dem sogenannten „Quishing“. Bei dieser Form des Betrugs handelt es sich um Phishing über QR-Codes. Bisherige Sicherheitslösungen scannen Anhänge und URLs in E-Mails. Auf diese Weise werden bereits viele Phishing-Links herausgefiltert. Beim „Quishing“ versagen diese Schutzmechanismen allerdings, da QR-Codes als Bilder und nicht als Texte verarbeitet werden. Die aktuellen Fälle finden vor allem im Zusammenhang mit dem Cloud-Service Microsoft 365 statt. Hierbei versuchen Cyberkriminelle zunächst Nutzerdaten für diesen Dienst zu erbeuten. In einem zweiten Schritt werden die Opfer auf eine täuschend echt aussehende, aber gefälschte Login-Seite für Microsoft 365 geleitet.
Um nicht in diese Falle zu tappen, sollte folgendes beachtet werden:
- E-Mails vor dem Öffnen stets auf Plausibilität prüfen
- bei Verdacht auf eine Phishing-Nachricht
- keine Anhänge öffnen
- keine Links klicken
- keine QR-Codes scannen