ePA – Elektronische Patientenakte: Öffnet Einführung ab dem 15.01.25 ein Einfallstor für Hacker?
Ab dem 15. Januar 2025 wird die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten in Deutschland eingeführt – es sei denn, sie widersprechen ausdrücklich. Diese zentrale digitale Plattform soll die Speicherung und den Austausch medizinischer Daten erleichtern.
Doch das Thema Sicherheit sorgt weiterhin für Diskussionen und Bedenken, insbesondere bei Ärzten und deren Verbänden. Obwohl die ePA das Gesundheitssystem effizienter machen könnte, äußern viele Ärzte nämlich Vorbehalte gegenüber der Nutzung. Die Bedenken sind dabei nicht unbegründet: Hochsensible und private Daten wie Diagnosen, Medikationspläne oder Arztberichte könnten durch Sicherheitslücken und Leaks zum Ziel von Hackern werden.
Hacker leaken Daten der ePA – Elektronische Patientenakte
So haben beispielsweise Experten des Computer Chaos Club laut einem Beitrag bei BR24 demonstriert, wie sich mit einem simplen Telefonanruf bei den Krankenkassen elektronische Gesundheitskarten auf beliebige Namen bestellen ließen – ein Vorgang, der im Test gerade einmal zehn bis 20 Minuten in Anspruch nahm.
Die aufgedeckten Schwachstellen gingen jedoch noch weiter. Die Sicherheitsforscher zeigten, wie Mängel in der technischen Spezifikation es ermöglichen, digitale Zugriffsschlüssel für die Akten beliebiger Versicherter zu erstellen – ohne dass dafür eine physische Gesundheitskarte vorliegen muss. Besonders beunruhigend für die Experten: Ein einziger kompromittierter Praxiszugang könnte bereits ausreichen, um auf bis zu 1.500 Patientenakten zuzugreifen.
Notfall-Patches statt Systemreform
Die Nationale Agentur für Digitale Medizin, die Gematik, verantwortlich für Entwicklung und Betrieb der ePA, hat auf die Enthüllungen reagiert. Wie BR24 weiter berichtet, soll für die am 15. Januar 2025 startende Pilotphase zunächst nur eine ausgewählte Gruppe von Leistungserbringern in einer Modellregion Zugriff erhalten.
CISOs sind nicht mehr nur Technologe – sondern eine zentrale Führungspersönlichkeit
CISOs sind zentrale Führungspersönlichkeit
Moderne CISOs ist nicht mehr nur Technologe – sondern eine zentrale Führungspersönlichkeit, die strategische Entscheidungen trifft. Dieser Wandel stärkt das Vertrauen innerhalb der Führungsebene und fördert eine größere Autonomie sowie Unterstützung. So eine Einschätzung von SailPoint (Webseite).
Im Jahr 2025 spiegelt sich dies in wachsenden Budgets für Cybersicherheit wider. Da die meisten reifen Unternehmen bereits wesentliche betriebliche Aktivitäten abgedeckt haben, sollten die Budgeterhöhungen auf stärkere Governance-, Risiko- und Compliance-Strategien (GRC) ausgerichtet werden, einschließlich der Zentralisierung der Risikoanalyse. Investitionen in GRC-Programme stellen sicher, dass die Ressourcenzuweisung auf risikobasierten Entscheidungen beruht, und tragen dazu bei, Verschwendung und Ineffizienzen zu reduzieren. Ein ausgereiftes GRC-Programm hilft dabei, regulatorische Anforderungen zu entflechten, doppelte Kontrollen zu vermeiden und Prozesse zu vereinfachen.
Zusätzlich treiben CISOs Effizienz voran, etwa durch Anbieter-Konsolidierungen oder die Identifikation von Doppelstrukturen. Ein Beispiel: Cyber-Versicherungspolicen können bereits Leistungen enthalten, die bisher separat erworben wurden – ein Ansatz, der Ressourcen für strategischere Prioritäten freisetzt. Diese Konzentration auf Effizienz und organisatorische Reife unterstützt die Entwicklung des CISO von einem technischen Kenner zu einer Führungspersönlichkeit.
CISOs müssen Ansprüchen der Versicherer gerecht werden
So wie sich die Risikolandschaft im Laufe der Jahre entwickelt hat, haben sich auch die Methoden der Versicherer zur Risikobewertung verändert. Die Anforderungen sind gestiegen und die Verantwortung für Cybersicherheitsmaßnahmen liegt zunehmend bei den Unternehmen. Cyber-Bedrohungen werden immer komplexer, was bedeutet, dass mit weiteren Anpassungen der Ausschlüsse und Prämien zu rechnen ist, insbesondere für Unternehmen, die im Bereich der Cybersicherheitsvorbereitung zurückliegen. Diese Entwicklung hat auch eine neue Verantwortung auf die Schultern der CISOs gelegt, da sie sich nun mit komplexen rechtlichen Anforderungen auseinandersetzen, die Einhaltung sich entwickelnder Standards sicherstellen und die Umsetzung robuster Sicherheitsmaßnahmen in ihren Unternehmen nachweisen müssen, um sich für den Versicherungsschutz zu qualifizieren.
Unternehmen, die in fortschrittliche Sicherheitsmaßnahmen, insbesondere in Identitätssicherheit, investieren, können ihre Prämien mit größerer Wahrscheinlichkeit beibehalten oder sogar senken, während Unternehmen mit schwächeren Schutzmaßnahmen mit höheren Kosten und strengeren Versicherungsbedingungen rechnen müssen. Um das richtige Gleichgewicht zu finden, müssen Versicherer und Unternehmen zusammenarbeiten, um dem proaktiven Risikomanagement und der allgemeinen Cybersicherheitsreife Priorität einzuräumen.
Die Weiterentwicklung maschineller Identitäten
Fast 3/4 der Unternehmen verwalten heute mehr maschinelle Identitäten als menschliche Identitäten. Da Unternehmen im Jahr 2025 nur noch mehr auf Automatisierung, Cloud-Dienste und IoT setzen, stellt die Überwachung dieser Identitäten eine große Herausforderung dar. Dabei setzen die meisten Unternehmen immer noch auf die manuelle Verwaltung und verzichten dadurch auf Echtzeittransparenz. Dabei wäre genau diese nötig, um Maschinenidentitäten effektiv zu überwachen und verwalten und Sicherheitslücken durch unbefugten Zugriff zu vermeiden. Diese Lücken erhöhen das Risiko des Diebstahls von Berechtigungsnachweisen und damit die Wahrscheinlichkeit von Sicherheitsverletzungen und Compliance-Verstößen.
Unternehmen setzen zunehmend auf KI-gesteuerte Lösungen, um den Lebenszyklus von Maschinenidentitäten effizienter zu verwalten. Governance und Ownership rücken dabei in den Fokus. Investitionen in Tools, die Live-Überwachung ermöglichen und manuelle Prozesse ersetzen, gewinnen an Bedeutung. Wer diese Risiken jetzt proaktiv adressiert, stärkt nicht nur die Sicherheit, sondern erfüllt regulatorische Anforderungen und bewahrt das Vertrauen in einer immer stärker vernetzten Welt.
Zwei neue MaaS Kampagnen: Venom Spider lässt RevC2 und Venom Loader von der Kette
Die Sicherheitsforscher von Zscaler ThreatLabz haben zwei neue Kampagnen aufgedeckt, die auf das Malware-as-a-Service-Angebot (MaaS) von Venom Spider zurückzuführen sind. Venom Spider, auch bekannt als Golden Chickens, bietet MaaS-Tools wie VenomLNK, TerraLoader, TerraStealer und TerraCryptor, die in der Vergangenheit von Malware-Gruppierungen wie FIN6 und Cobalt eingesetzt wurden. Jetzt haben die Forscher zwei neue Kampagnen auf Basis von Venom Spiders MaaS Tools entdeckt, die die Namen RevC2 und Venom Loader erhalten haben.
RevC2: API-Dokumentation wird zur Payload-Übertragung eingesetzt
Die erste der beiden Kampagnen war von August bis September aktiv. RevC2 ist eine Backdoor mit der Fähigkeit, sensible Daten wie Cookies oder Passwörter zu stehlen, Screenshots zu erstellen und Remote Code Execution (RCE) durchzuführen. WebSockets werden für die Command & Control-Kommunikation eingesetzt. In einem ersten Schritt wird eine VenomLNK-Datei ausgeliefert, die ein verschlüsseltes Batch-Script enthält. Wenn dieses Script ausgeführt wird, erfolgt der Download eines PNG-Bildes mit einer API-Dokumentation. Wird auf diesen Köder geklickt, ruft RevC2 Kommandozeilen ab und überprüft nach Übereinstimmungen mit dWin.ocx-Endungen und Dateinamen. In einem zweiten Schritt wird der Pfad der ausführbaren Datei abgerufen und verglichen mit regsvr32.exe. Erst wenn diese zwei Checks erfolgreich ausfallen, wird die bösartige Software ausgeführt, da auf diese Weise eine Ausführung in Sandbox-Umgebungen unterlaufen wird.
Die Venom Spider Angriffskette (Bild: Zscaler)
Venom Loader: Malware-as-a-Service (MaaS)
Die zweite Kampagne fand von September bis Oktober statt und setzte eine Krypto-Währungstransaktion zur Auslieferung von Venom Loader ein. Nach der Aktivierung wird die JavaScript-Backdoor Retdoor nachgeladen, die dem Malware-Akteur Remote-Code-Execution-Fähigkeiten bietet. Eine Besonderheit von Venom Loader ist, dass die Malware für jeden Angriff individuell angepasst wird und den Computernamen des Opfers verwendet, um die Payload zu kodieren. Durch die Kontrolle der infizierten Geräte können die Angreifer wie bei RevC2 sensible Benutzerdaten stehlen oder weitere bösartige Tools laden. Venom Loader wird hauptsächlich zum Zweck der Spionage, des Abgreifens persönlicher Daten und zur Verbreitung von Ransomware eingesetzt.
Malware so schnell wie möglich von infizierten Geräten entfernen
Bei den entdeckten Malware-Familien RevC2 und Venom Loader handelt es sich um gefährliche Loader, die zu erheblichem Schaden in infizierten Systemen beitragen können. Sie sollten so schnell wie möglich von befallenen Geräten entfernt werden. Das ThreatLabz-Team erwartet in Zukunft das Hinzufügen weiterer Funktionen und Anti-Analyse-Techniken zu diesen Familien und beobachtet die Weiterentwicklung der neuen Kampagnen zum fortlaufenden Schutz der Kunden.
Die detaillierte Analyse der neu entdeckten Malware-Familien RevC2 und Venom Loader ist im Zscaler Blog nachzulesen.
Kritische IGA Funktionen für die NIS2-Compliance
Die NIS2-Richtlinie der Europäischen Union soll den Standard der IT-Sicherheit bei Betreibern kritischer Infrastrukturen (KRITIS) anheben und dem aktuellen und zu erwartenden Gefahrenlevel anpassen. Mit deutlich verschärften Anforderungen und einem erweiterten Anwendungsbereich stellt sie Unternehmen vor handfeste Herausforderungen – eröffnet aber auch neue Chancen. Was bedeutet das für Identity Governance and Administration (IGA)?
Eine moderne Identity Governance and Administration erweist sich dabei als ein Erfolgsfaktor. Wer die folgenden neun Aspekte betrachtet, versteht schnell, warum ohne leistungsfähige IGA-Lösungen NIS-2 Anforderungen nicht vollständig umgesetzt werden können.
IGA und Identity- und Access Management (IAM)
NIS2 folgt dem Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ und das durchgängige Management von Zugriffsberechtigungen durch IGA-Lösungen schafft Transparenz und Sicherheit für das Berechtigungswesen. Besonders wertvoll erweist sich dabei die Fähigkeit moderner IGA-Systeme, Zugriffsrechte schnell an organisatorische Veränderungen anzupassen, verwaiste Berechtigungen sofort zu erkennen und Akkumulation nicht benötigter Rechte zu verhindern. Das erhöht die Sicherheit vor Cyberattacken.
Risikomanagement und Governance
NIS2 fordert einen risikobasierten Sicherheitsansatz, um der Vielfalt der möglichen Cyberattacken passende Antworten entgegenzusetzen. Moderne Systeme liefern hier notwendige, kritische Informationen: Sie ermöglichen eine lückenlose Kontrolle über Benutzerrechte auf sensible Daten und kritische IT-Systeme – der Grundpfeiler jeder effektiven Cybersicherheitsstrategie. Durch die Integration von Risikobewertungen des IGA-Systems in das Sicherheitsrisikomanagement können Unternehmen Bedrohungen umfassend erkennen und neutralisieren, bevor sie sich zu echten Sicherheitsvorfällen entwickeln.
Incident Response
Im Notfall ist Schnelligkeit oberstes Gebot. Die Integration der IGA-Systeme mit SIEM-Systemen ermöglicht schnelle, grundlegende Reaktionen auf Sicherheitsvorfälle wie z.B. Deaktivierung von Accounts als eine Maßnahme. So wird aus einzelnen Sicherheitsmaßnahmen ein schlagkräftiges Ganzes.
Schwachstellen-Management
Vorbeugen ist bekanntlich besser als Nachsorgen und IGA-Systeme setzen genau hier an: Sie erkennen kritische Schwachstellen in Konfigurationen zur Rechtevergabe und erlauben über aktive Dashboards vielfältige Aktionen, bevor Missstände oder Fehler zum Problem werden können. Die dynamische Anpassung von Zugriffsberechtigungen minimiert die Angriffsfläche für Angreifer.
Überwachung und Prüfpfade
Wer hat welche Rechte wann und warum? Diese zentrale Frage beantwortet eine moderne IGA-Lösung präzise und lückenlos. Die entsprechenden Prozesse und Logs machen es nicht nur für Auditoren leichter, die Compliance zu prüfen, sondern sind auch für die eigene Sicherheitsanalyse unverzichtbar. Die granulare Protokollierung ermöglicht es, forensische Analysen nach Sicherheitsvorfällen durchzuführen und ebenso eine Optimierung bevor Sicherheitsvorfälle eintreten. Auch das erfüllt Anforderungen von NIS-2.
Awareness
Die wachsende Cybersecurity Bedrohung erfordert, wie alle anderen Sicherheitsmaßnahmen, immer auch Awarenessmaßnahmen. NIS-2 fordert das ein. Die üblicherweise durchgeführten Schulungen passen nahtlos als Teilelement in ein Gesamtkonzept.
Reduzierung von Fehlern durch Automatisierung
Die Automatisierung von IGA-Prozessen in modernen IGA-Lösungen minimiert das Risiko manueller Prozesse systematisch und nachhaltig. Intelligente Workflows standardisieren die Prozesse, vereinfachen durch eine rigide Systematik die Fehlerbehebung und stellen zusätzlich sicher, dass Mitarbeiter über Regeln und Rollen nur die Zugriffsrechte erhalten, die sie für ihre aktuelle Position wirklich benötigen – vom ersten Arbeitstag bis zum Ausscheiden aus dem Unternehmen.
Compliance Reporting
Die für Compliance-Treue notwendige Dokumentation findet sich für IGA Systeme in Datenbanken, die Dashboards bedienen, in Logs für die Prozessdurchführungen und weiteren Ablagen. Die IGA-Nachweispflichten sind unabhängig von NIS2, passen aber nahtlos in die NIS2-Anforderungen. Dabei reduziert die automatische Generierung von Compliance-Berichten und Audit-Trails den manuellen Aufwand erheblich und ermöglicht eine kontinuierliche Überwachung der Einhaltung von Richtlinien.
IGA – Fazit
Die NIS2-Richtlinie markiert den nächsten Evolutionsschritt in der europäischen Cybersicherheit. Sie erweitert den ursprünglichen Scope von KRITIS auf sehr viel mehr Unternehmen und verschärft die Melde- und Nachweispflichten. Ein gut konfiguriertes IGA-System ist ohne Zusatzaufwände ein maßgeblicher Baustein in der Erfüllung der NIS-2 Anforderungen.
Unternehmen, die jetzt in zukunftsfähige IGA-Systeme investieren, schaffen nicht nur die Grundlage für ihre NIS2-Compliance – sie positionieren sich auch als Vorreiter in Sachen Cybersicherheit. In einer Zeit, in der digitale Bedrohungen täglich zunehmen, könnte diese Investition kaum wichtiger sein.
Studie deckt durch Mitarbeiterverhalten verursachte Sicherheitsrisiken auf
Eine neue Untersuchung von CyberArk zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viel gängiges Mitarbeiterverhalten beim Zugriff auf sensible und privilegierte Daten führen – bewusst oder unbewusst – zu Sicherheitsrisiken.
Die Untersuchung von CyberArk basiert auf einer globalen Umfrage unter 14.003 Arbeitnehmern und gibt Einblicke in das übliche Mitarbeiterverhalten und Datenzugriffsmuster. Sie zeigt, dass Sicherheitsteams die Anwendung von Identity-Security-Kontrollen neu überdenken sollten.
Zentrale Ergebnisse im Mitarbeiterverhalten im Überblick
Die Mehrheit hat Zugang zu vertraulichen Informationen: 86 Prozent der Befragten greifen auf Arbeitsplatzanwendungen, die oft geschäftskritische Daten enthalten, von persönlichen, vielfach unzureichend gesicherten Geräten aus zu. Die Umfrage bestätigt, dass ein privilegierter Zugang nicht mehr nur IT-Administratoren vorbehalten ist. So geben 38 Prozent an, dass sie häufig Kundendaten herunterladen. Ein Drittel ist in der Lage, kritische oder sensible Daten zu ändern, und mehr als 30 Prozent können große Finanztransaktionen genehmigen.
Die Wiederverwendung von Passwörtern ist weit verbreitet: Die Untersuchung hat mehrere Gewohnheiten ermittelt, die die Sicherheit gefährden. So verwenden 41 Prozent der befragten Mitarbeiter dieselben Anmeldedaten für unterschiedliche arbeitsbezogene Anwendungen, wobei 32 Prozent dieselben Anmeldedaten sowohl für private als auch für berufliche Applikationen nutzen. 71 Prozent der Befragten haben bereits arbeitsplatzspezifische vertrauliche Informationen an Außenstehende weitergegeben. Diese Praktiken erhöhen das Risiko von Sicherheitslecks und Sicherheitsverletzungen erheblich.
Die Mehrheit umgeht Cybersicherheitsrichtlinien: 77 Prozent der Befragten beachten häufig Cybersicherheitsrichtlinien nicht, um sich die Arbeit zu erleichtern. Zu solchen Praktiken gehören die Verwendung eines Passworts für mehrere Accounts, die Nutzung privater Geräte als WLAN-Hotspots und die Weiterleitung von Unternehmens-E-Mails an private Konten.
Die Einführung von KI führt zu weiteren Sicherheitsherausforderungen: 80 Prozent der Mitarbeiter nutzen KI-Tools, die neue Schwachstellen schaffen können, wenn beispielsweise vertrauliche Daten in die Tools eingegeben werden. Fast die Hälfte (44 %) der Beschäftigten hält sich bei der Nutzung von KI-Tools „nur manchmal“ oder „nie“ an die Richtlinien zum Umgang mit sensiblen Daten.
Neue Untersuchung der CyberArk Labs
Auch die neue Studie „White FAANG: Devouring Your Personal Data“ der CyberArk Labs, zeigt, wie der individuelle Browser- und Internetverlauf im Mitarbeiterverhalten eine Bedrohung sowohl für ihre Arbeitgeber als auch für ihr Privatleben darstellen kann. So können individuelle Browserverlaufsdaten leicht gestohlen und als Angriffsvektor auf die Infrastruktur von Unternehmen genutzt werden.
Die Kombination aus besorgniserregenden Mitarbeiteraktionen und der Fähigkeit von Angreifern, den Browserverlauf zu entwenden, erhöht das Risiko für Unternehmen. Mit der Implementierung eines robusten Identity-Security-Programms mit dynamischen Berechtigungskontrollen können Sicherheitsteams Angreifer daran hindern, Zugang zu sensiblen und privilegierten Informationen zu erhalten.
„Viel zu lange hat sich der Standardansatz für die Sicherheit des Mitarbeiterzugriffs auf grundlegende Kontrollen wie die Authentifizierung über Single Sign-on konzentriert. Dies ignoriert die sich verändernde Art der Identität: Nahezu jeder Mitarbeiter kann privilegierte Zugriffsrechte erhalten“, betont Michael Kleist, Area Vice President DACH bei CyberArk. „Die Untersuchungsergebnisse zeigen, dass risikoreiche Zugriffe fast immer möglich sind und es viele Verhaltensweisen gibt, die zu ernsthaften Sicherheitsproblemen für Unternehmen führen können. Deshalb besteht die dringende Notwendigkeit, die Identitätssicherheit neu zu definieren, indem jeder Benutzer mit dem richtigen Maß an Berechtigungskontrollen geschützt wird.“
Alt-Systeme in Industrie-Umgebungen schützen: Cyber-Sicherheit und die OT
In vielen Unternehmen lautet eine der wichtigsten Fragen bezüglich der Betriebstechnologie (Operational Technology, OT): Wie schützt man die sogenannten Alt-Systeme richtig?
Gerade im OT-Bereich ist viel veraltete Software im Einsatz, denn die Geräte und Maschinen in den Produktionsumgebungen wurden oft vor 10, 15 oder gar 20 Jahren angeschafft. Entsprechend alt sind auch die Betriebssysteme (Windows XP und älter). Sie bieten mittlerweile keine oder nur rudimentäre Sicherheitskonzepte. Allerdings können diese Alt-Systeme, wenn sie überhaupt noch unterstützt werden, nicht einfach mit einem Patch oder Update versehen werden, wie dies in der IT-Umgebung möglich ist. Im Weg steht die Ausfallsicherheit, denn zur Aktualisierung muss die Maschine wahrscheinlich abgeschaltet werden, was zum Stillstand der Produktion und damit zu einem finanziellen Schaden führen kann, der schnell in die Millionen geht. Dies sind völlig andere Voraussetzung als in der IT-Sicherheit, wo der Ausfall eines Computers in der Büro-IT einfacher verkraftet werden kann.
Alt-Systeme und Industrie 4.0
Im Zuge der digitalen Transformation anlässlich der Idee der Industrie 4.0 werden diese Alt-Systeme jedoch zuerst ans interne Unternehmensnetzwerk und dadurch schließlich ans Internet angeschlossen – mit verheerenden Folgen, denn diese ungesicherten Alt-Systeme mit teils bekannten Schwachstellen waren nie für diese Vernetzung gedacht und öffnen nun Hackern Tür und Tor ins Unternehmensnetz. Eine erfolgreiche Infiltration bzw. ein damit einhergehender Ausfall kann im OT-Bereich verheerende Folgen nach sich ziehen: Produktionsausfall mit enormen finanziellen Einbußen, Geldstrafen oder Maschinenschäden bis hin zu lebensbedrohlichen Worst-Case-Szenarien im Falle von beispielsweise der chemischen Industrie. Doch Unternehmen müssen diesen Schritt der Vernetzung ihrer Anlagen gehen, um langfristig konkurrenzfähig bleiben zu können, weil dies die Produktivität und Effizient erhöht. Ein Dilemma.
Neue Regularien verpflichten zum Schutz
Mit neuen Regularien wie der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) verpflichtet die EU zwar Unternehmen, ihre IoT- und OT-Umgebungen zu schützen und fordert dafür ein Mindestmaß an Sicherheit, doch dies ist kein Garant für ein sicheres Netzwerk. Will heißen, nur weil man alle Richtlinien befolgt, ist man nicht zwangsweise geschützt. Wegen jüngerer Entwicklungen wie im Bereich der Künstlichen Intelligenz (KI) sind Angriffe sowohl zahlreicher als auch professioneller geworden. Der Gesetzgeber dagegen kann mit der Geschwindigkeit, mit der diese neuen Technologien bereitgestellt werden, nur bedingt Schritt halten.
Es ist daher entscheidend, dass Unternehmen dem Thema der OT-Sicherheit über die Compliance hinaus eine besondere Beachtung schenken und es in den ständigen Fokus ihrer Cyber-Sicherheitsstrategie stellen. Vor allem, jedoch nicht ausschließlich dann, wenn es sich um Alt-Systeme handelt.
Schritte zu einer umfänglichen OT-Sicherheit trotz Alt-Systeme
Ein Risiko-Management durchführen: Durch Beurteilung der Kritikalität eines bestimmten Legacy-Kontrollsystems können gezielte technische Vorkehrungen für bestimmte, als kritisch eingestufte, Assets durchgeführt werden, ohne Ressourcen und Zeit in anderen Bereichen zu verschwenden.
Ein OT-spezifisches Netzwerkgerät installieren: Vor eine einzelne Anlage oder eine Gruppe von Legacy-Systemen wird ein spezielles Device platziert, dass als Schutzschild dient und virtuelle Patching-Funktionen bietet. Damit wird das Gerät mit modernen Methoden geschützt, obwohl das Betriebssystem veraltet ist.
Mit einem Passwort geschützte Geräte durch Biometrik ersetzen: Durch KI ist das Stehlen von Passwörtern in einem weitaus größeren und professionelleren Stil möglich geworden. Mit Biometrik geschützte Geräte und Funktionen sind hier die sicherere Wahl, weil diese Faktoren nur schwierig nachgeahmt werden können, zum Beispiel Fingerabdrücke.
IT- und OT-Netzwerke trennen: Um den digitalisierten Betrieb am Laufen zu halten, müssen OT-Geräte im Unternehmensnetzwerk die Möglichkeit haben, miteinander zu kommunizieren, ohne von Angreifern, die sich in der IT gerade tummeln, gesehen zu werden. Das heißt, es bedarf einer physischen wie virtuellen Trennung von IT- und OT-Netzwerken innerhalb eines Unternehmens. Ist Ersteres infiltriert, kann der Angreifer nicht auf Letzteres zugreifen. Eine sogenannte Virtual Air Gap sorgt dafür, dass auf OT-Geräte nur über eine sichere Verbindung zum Netz zugegriffen werden kann und dass OT-Netzwerk von der IT und somit vom Rest der Welt abgeschirmt bleibt.
Mikro-Segmentierung einführen: Hierbei bestimmt ein Netzwerkgerät, welche Kommunikation zwischen den einzelnen Geräten und Maschinen zugelassen wird. Dazu kommt ein virtueller Patch. Es helfen auch bereits bekannte Angriffe: Mit Signaturen auf dem Netzwerkgerät sieht man, wenn diese alten Schwachstellen ausgenutzt werden sollen und kann entsprechend darauf reagieren. Nach der Segmentierung des Netzwerks also in einen OT- und einen IT-Bereich wird nun innerhalb des OT-Teils auf Mikro-Ebene nochmal segmentiert, um wiederum isolierte Zonen mit scharfen Kontrollen des Datenverkehrs an ihren Grenzen zu erschaffen. Wiederum verhindert dies, dass ein Hacker, der in eine Zone eindringt, die gesamte OT-Umgebung attackieren kann.
Zusammenfassung
Im Zuge der digitalen Transformation und der Industrie 4.0 ist es für Unternehmen überlebensnotwendig geworden mit der neuesten Technologie Schritt zu halten. Ihre Produktionsumgebungen laufen jedoch zumeist noch auf teils sehr alten Systemen, die zu ersetzen oder zu aktualisieren kaum oder nicht möglich ist. Bekannte Schwachstellen werden durch die Anbindung dieser Legacy-Systeme ans Internet zu Einfallstoren für Cyber-Kriminelle und stellen somit ein erhebliches Risiko dar. Durch den richtigen Schutz der OT-Umgebungen können Unternehmen aber dafür Sorge tragen, dennoch sicher und somit konkurrenzfähig zu bleiben. Eine ausgearbeitete OT-Sicherheitsstrategie ist dabei entscheidend und unumgänglich, denn es ist möglich, die alten Systeme angemessen zu schützen, wenn eine OT-native Sicherheitsstrategie mit OT-nativen Sicherheitslösungen angegangen wird.
Im Rahmen der Qualitätsverbesserung unserer Markplatz-Webseite bitten wir Sie, an unserer 5- bis 7-minütigen Umfrage teilzunehmen. Die Ergebnisse der Umfrage helfen uns, die Nutzererfahrung und Bedienbarkeit der Webseite zu optimieren. Dabei geht es vor allem um den Aufbau der Webseite, die Inhalte und die Funktionen, die sie bietet. Am Ende der Umfrage bitten wir Sie um Ihre Anmerkungen zur Verbesserung der Webseite, um Ihnen in Zukunft eine noch bessere Version zur Verfügung stellen zu können.
Wir würden uns sehr freuen, wenn Sie sich kurz die Zeit nehmen, uns in diesem Anliegen zu unterstützen. Zur Umfrage.
Needrestart: Schwachstellen bei der Eskalation von Berechtigungen entdeckt
Qualys (Webseite) gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege Escalation (LPE)-Schwachstellen in der Komponente needrestart identifiziert, die standardmäßig auf Ubuntu Servern installiert ist.
Diese Schwachstellen können von jedem nicht privilegierten Benutzer ausgenutzt werden, um vollen Root-Zugriff zu erlangen, ohne dass eine Interaktion des Benutzers erforderlich ist. Die identifizierten Schwachstellen wurden mit den CVE-Kennungen CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 und CVE-2024-11003 versehen, was die Notwendigkeit einer sofortigen Behebung zum Schutz der Systemintegrität unterstreicht.
Das Qualys TRU-Team hat erfolgreich funktionale Exploits für diese Schwachstellen entwickelt. Wir werden unsere Exploits zwar nicht offenlegen, aber man sollte sich bewusst sein, dass diese Schwachstellen leicht ausnutzbar sind und andere Forscher möglicherweise kurz nach dieser koordinierten Offenlegung funktionierende Exploits veröffentlichen werden.
Diese Schwachstellen bestehen seit der Einführung der Interpreterunterstützung in der Version 0.8 von needrestart, die im April 2014 veröffentlicht wurde.
Was ist needrestart?
Needrestart ist ein Dienstprogramm, das Systeme scannt, um festzustellen, ob ein Neustart für das System oder seine Dienste erforderlich ist. Insbesondere kennzeichnet es Dienste für einen Neustart, wenn sie veraltete gemeinsam genutzte Bibliotheken verwenden – beispielsweise, wenn eine Bibliothek während einer Paketaktualisierung ersetzt wird. Da es in Server-Images integriert ist, ist needrestart so eingestellt, dass es nach APT-Vorgängen wie Installation, Upgrade oder Entfernung, einschließlich unbeaufsichtigter Upgrades, automatisch ausgeführt wird.
Seine Hauptaufgabe besteht darin, Dienste zu identifizieren, die nach kritischen Bibliotheksaktualisierungen neu gestartet werden müssen, wie z. B. die C-Bibliothek (glibc). Dieser Prozess stellt sicher, dass Dienste die neuesten Bibliotheksversionen nutzen, ohne dass ein vollständiger Neustart des Systems erforderlich ist, wodurch die Betriebszeit und Leistung verbessert werden. Durch die sofortige Aktualisierung von Diensten mit den neuesten Bibliotheken ist needrestart für die Aufrechterhaltung der Sicherheit und Effizienz von Ubuntu Server von entscheidender Bedeutung.
Betroffene needrestart-Versionen
Die Schwachstellen sind in der Komponente needrestart vorhanden, die standardmäßig auf Ubuntu Servern seit Version 21.04 installiert ist und eine beträchtliche Anzahl von Implementierungen weltweit betrifft. In Versionen vor 3.8 ermöglicht die Komponente lokalen Angreifern, beliebigen Code als root auszuführen. Dieser Exploit wird durch die Manipulation einer vom Angreifer kontrollierten Umgebungsvariablen erreicht, die den Python/Ruby-Interpreter beeinflusst, indem sie nicht bereinigte Daten an eine Bibliothek weiterleitet, die sichere Eingaben erwartet, wodurch die Ausführung beliebiger Shell-Befehle ermöglicht wird. Versionen von needrestart vor 3.8 sind betroffen, und eine Lösung ist in Version 3.8 verfügbar.
Mögliche Auswirkungen
Diese Schwachstellen im Dienstprogramm needrestart ermöglichen es lokalen Benutzern, ihre Berechtigungen zu erweitern, indem sie bei Paketinstallationen oder -aktualisierungen beliebigen Code ausführen, wobei needrestart häufig als Root-Benutzer ausgeführt wird.
Ein Angreifer, der diese Schwachstellen ausnutzt, könnte Root-Zugriff erlangen und die Systemintegrität und -sicherheit gefährden.
Dies birgt erhebliche Risiken für Unternehmen, darunter unbefugter Zugriff auf sensible Daten, Installation von Malware und Unterbrechung des Geschäftsbetriebs. Es könnte zu Datenschutzverletzungen, Nichteinhaltung von Vorschriften und Vertrauensverlust bei Kunden und Interessengruppen führen, was sich letztlich auf den Ruf des Unternehmens auswirkt. Unternehmen sollten dieses Risiko schnell mindern, indem sie die Software aktualisieren oder die anfällige Funktion deaktivieren.
Bild: Qualsys
Schritte zur Risikominderung
Die Deaktivierung der Interpreter-Heuristik in der Konfiguration von needrestart verhindert diesen Angriff. Die Konfigurationsdatei von needrestart befindet sich normalerweise unter /etc/needrestart/needrestart.conf. Diese Datei enthält verschiedene Einstellungen, die das Verhalten des Dienstprogramms needrestart steuern. Diese Änderung deaktiviert die Interpreter-Scan-Funktion.
ML Frameworks mit kritischer Schwachstelle entdeckt: Gefährdung für maschinelles Lernen
Maschinelles Lernen (ML) ist in der Softwareentwicklung unverzichtbar geworden und ermöglicht schnellere Erkennung, verbesserte Automatisierung und datenbasierte Anwendungen. Doch JFrogs jüngste Untersuchung legt eine Reihe von Schwachstellen in verbreiteten ML Frameworks offen, die Unternehmen potenziellen Angriffen aussetzen.
Die Analyse verdeutlicht, wie wichtig robuste Sicherheitsmaßnahmen beim Entwickeln und Betreiben von Machine Learning Anwendungen sind. Die dokumentierten Schwachstellen betreffen die wichtigsten ML Plattformen und machen deutlich, wie böswillige Akteure durch gezielte Angriffstechniken die Vertraulichkeit, Integrität und Verfügbarkeit produktiver ML Systeme gefährden könnten.
Kritische Schwachstellen in ML Frameworks: PyTorch, TensorFlow
Die Open-Source-Bibliothek PyTorch enthält Schwachstellen wie CVE-2022-41978 und CVE-2023-43645, die es Angreifern ermöglichen, schädliche Daten einzuschleusen, Sicherheitsmaßnahmen zu umgehen und unbefugt auf Ressourcen zuzugreifen. Konkret ermöglicht CVE-2022-41978 Angreifern die Ausführung von Befehlen durch manipulierte Deserialisierung, indem während des Ladens des Modells schädlicher Code eingebracht wird, der die Integrität gefährdet. CVE-2023-43645 betrifft eine Path-Traversal-Schwachstelle im TorchServe-Server von PyTorch, durch die Dateien überschrieben oder beliebige Skripte auf dem Host-System ausgeführt werden könnten.
Auch TensorFlow weist kritische Sicherheitslücken auf, darunter CVE-2023-32457, die einen potenziellen Angriffsvektor für Modell-Deserialisierungs-Angriffe darstellt. Diese Schwachstelle erlaubt bösartig gestalteten TensorFlow-Modellen, eine Speicherbeschädigung herbeizuführen, was Systemabstürze oder die Ausführung nicht autorisierten Codes zur Folge haben kann. Das Risiko bei der Modell-Deserialisierung wird hier besonders deutlich: Unsachgemäß behandelte Daten in diesem essenziellen Prozess können als Einstiegspunkte dienen, um ML Umgebungen zu kompromittieren.
Schwachstellen in ONNX und Bedrohungen der Lieferkette
Darüber hinaus weisen die Sicherheitsforscher auf Schwachstellen in ONNX-Modellen (Open Neural Network Exchange) hin. Durch uneingeschränkte Dateioperationen beim Laden des Modells könnte das System manipuliert werden, wodurch Angreifer auf Systemdateien zugreifen oder diese verändern können. Solche Schwachstellen bergen das Risiko unbefugter Datenzugriffe oder sogar einer vollständigen Kompromittierung des Systems.
Die Forscher beschreiben außerdem die Methoden, mit denen Angreifer die Sicherheitslücken ausnutzen können, und fokussieren dabei Bedrohungen für die Lieferkette von Machine Learning Diensten. Durch Angriffe auf den Deserialisierungsprozess – ein wesentlicher Schritt beim Laden und Initialisieren von Modellen – kann bösartiger Code eingeschleust werden, der bei der Bereitstellung des Modells ausgeführt wird. Solche Angriffe haben das Potenzial, gesamte ML Workflows zu beeinträchtigen und Schwachstellen entlang des Softwareentwicklungszyklus zu schaffen.
Fazit: Sicherheitsmaßnahmen im ML Einsatz unverzichtbar
Die Analyse macht deutlich, dass Organisationen beim Einsatz von ML Diensten auf signifikante Sicherheitsrisiken achten müssen. Die aufgedeckten Schwachstellen betonen die Notwendigkeit eines besonderen Fokus auf Modell-Deserialisierung und die Absicherung der Lieferkette. Da ML weiterhin viele Sektoren durchdringt, wird das Schließen dieser Sicherheitslücken entscheidend, um sensible Daten zu schützen und robuste, sichere ML-Umgebungen aufrechtzuerhalten. Unternehmen sollten deshalb konsequent auf DevSecOps-Praktiken setzen und sicherstellen, dass Sicherheitsmaßnahmen integraler Bestandteil der Bereitstellung und Verwaltung von ML-Modellen bleiben, um potenzielle Angriffsmöglichkeiten wirksam einzudämmen.
Die komplette Untersuchung des JFrog Security Research Teams finden Sie online.
NIS2 wird ernst: Wie Unternehmen noch schnell konforme Lösungen schaffen können
Die NIS2 Richtlinie, die in Deutschland voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein wird, zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyberangriffen zu schützen. Studien zu Folge ist jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf die Richtlinie vorbereitet.
Zentrale Anforderungen und Neuerungen der NIS2Richtlinie
Die NIS2 Richtlinie bringt einige weitreichende Neuerungen mit sich, die über die bisherigen Vorgaben hinausgehen:
Erweiterte Pflicht zur Cybersicherheits-Governance: Unternehmen müssen ein Cybersicherheits-Management etablieren, das auf alle Ebenen der Organisation ausgerichtet ist. Dies umfasst sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.
Erhöhte Transparenz und erweiterte Berichterstattung: Die NIS2-Richtlinie verpflichtet Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner soll die Transparenz erhöhen und Reaktionen beschleunigen.
Risiko- und Vorfallsbewertung: Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen sind essenziell. Dazu gehört die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.
Absicherung der Lieferkette: Ein wesentlicher Schwerpunkt der NIS2-Richtlinie liegt auf der Sicherheit in der Lieferkette. Unternehmen müssen sicherstellen, dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen. Dazu gehört die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.
Höhere Anforderungen an technische Sicherheitsmaßnahmen: Die technische Sicherheit von Netzwerken und Systemen ist ein zentrales Thema der NIS2-Richtlinie. Organisationen müssen Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyberangriffe zu verhindern.
Bußgelder bei Nichteinhaltung: Verstöße gegen die Vorgaben der NIS2-Richtlinie werden mit hohen Geldstrafen sanktioniert. Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.
NIS2 hat damit erhebliche Auswirkungen auf Unternehmen der kritischen Infrastruktur. Dazu zählen beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.
Unternehmen müssen die NIS2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingehen. Der Aufwand für die Umsetzung kann insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch bietet die Einhaltung der NIS2 Richtlinie auch Chancen: Unternehmen, die frühzeitig auf eine starke Cybersicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.
NIS2 wird ernst – Zusammenarbeit mit Partnern entscheidet
Spezialisierte Software-Anbieter unterstützen Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS2 Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch as a Service. Zu diesen schnell einsetzbaren Lösungen gehören beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgen dafür, dass sensible Daten im Fall eines Lecks geschützt bleiben. Die Lösungen ermöglichen zudem die sichere Verwaltung kryptografischer Schlüssel, was für die Integrität der Daten entscheidend ist.
Verifizierung und Authentifizierung spielen im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. Diese Maßnahmen sind ein wichtiger Teil der NIS2-Anforderungen. Hinzu kommen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring Tools einsetzen, die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen. Regelmäßige Prüfungen und Berichte helfen Sicherheitsteams, auf dem neuesten Stand der Cyberabwehr zu bleiben. Nicht zuletzt müssen Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten Partnern zu kooperieren, die ebenfalls nach EU-Recht reguliert sind.
Fazit
Die NIS2 Richtlinie stellt eine große Herausforderung dar, bietet jedoch zugleich eine Chance für Unternehmen, ihre Cybersicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyberbedrohungen und verbessert das Vertrauen von Kunden und Partnern. Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagementlösungen von Cybersecurity-Unternehmen wie Utimaco sowie die Unterstützung durch deren Compliance-Experten können Unternehmen die Anforderungen der NIS2-Richtlinie effektiv und effizient erfüllen.
