Trending Topics Cybersicherheit – Oktober 2023

Die Schwachstelle „Rapid Reset“ im Netzwerkprotokoll HTTP/2 erlaubt Angreifern, mit überschaubaren Ressourcen enorm schlagkräftige DDoS-Attacken mit immensen Paketraten auszuführen. Untersuchungen der DDoS-Testing-Fachleute von zeroBS haben ergeben, dass im Vergleich zu klassischen Botnetzen über diese Methode eine um den Faktor 12 höhere Paketrate möglich ist. Aktuell werden bereits Angriffe über Rapid Reset auf verwundbare Webserver ausgeführt. Im Security Operations Center (SOC) von Myra wurden Rapid-Reset-Attacken ebenfalls schon beobachtet und von unseren IT-Sicherheitsfachleuten vollständig abgewehrt.

Wie akut und real die Bedrohung durch DDoS-Attacken im öffentlichen Sektor ist, ließ sich Mitte Oktober anhand einer Serie orchestrierter Angriffe auf die Verwaltungsportale verschiedener Städte verfolgen. Von den Attacken betroffen waren die Webseiten der Städte Bielefeld, Dortmund, Dresden, Frankfurt am Main, Hannover, Köln und Nürnberg. Manche der angegriffenen Verwaltungsportale konnten nach wenigen Stunden wieder online gehen, andere mussten aufgrund anhaltender Attacken mehrere Tage abgeschaltet bleiben. Wer die Angriffe zu verantworten hat, ist bisher nicht bekannt.

Die Top-Themen der IT-Sicherheit im Oktober:

„Rapid Reset“: Neue DDoS-Methode ermöglicht extrem hohes Angriffsvolumen

Eine neue DDoS-Angriffstechnik namens „Rapid Reset“, die eine Schwachstelle im Netzwerkprotokoll HTTP/2 ausnutzt, gefährdet derzeit unzählige Server. Mit der Methode sind sehr hohe Angriffsvolumen bei überschaubarem Ressourcenverbrauch aufseiten der Angreifer möglich. Erste Sicherheitspatches sind bereits verfügbar.

Kritische Infrastrukturen müssen bei IT-Sicherheit noch nachlegen

Betreiber kritischer Infrastrukturen haben bei einer Umfrage des BSI Nachbesserungsbedarf in einigen Bereichen der IT-Sicherheit eingeräumt. Während die Umsetzung technischer Sicherheitsmaßnahmen bereits weit fortgeschritten ist, hinkt die Einführung organisatorischer Maßnahmen noch hinterher. Hauptgründe dafür sind Geld- und Personalmangel.

Wertvolle Schwachstellen: Für Zero-Day-Lücken werden Millionen gezahlt

Recherchen der Techcrunch-Redaktion haben ergeben, dass die Preise für Zero-Day-Schwachstellen auf dem Schwarzmarkt bis in die Millionen reichen. Aus eingesehenen Dokumenten gehe hervor, dass für Remote-Control-Schwachstellen in WhatsApp zwischen 1,7 und 8 Millionen US-Dollar gezahlt werden.

TAN-Verfahren vieler Banken als unsicher eingestuft

Das Landgericht Heilbronn hat in seinem Urteil zu einem Betrugsfall, bei dem über eine Phishing-Attacke Gelder ergaunert wurden, festgestellt, dass die Nutzung von App-basierten TAN-Verfahren, die auf demselben Gerät wie die Banking-App ausgeführt werden, gegen das Prinzip der 2-Faktor-Authentifizierung (2FA) verstößt. Das Urteil könnte die gängige Praxis vieler Banken infrage stellen, die den Einsatz beider Anwendungen auf einem Gerät erlauben.

iLeakage: Kritische Lücke in Apple-Prozessoren erlaubt das Abgreifen von Passwörtern, E-Mails und Textinhalten

Sicherheitsforscher sind auf eine schwere Sicherheitslücke gestoßen, die alle modernen Apple-Geräte mit ARM-Chipsets betrifft. Der iLeakage-Exploit zielt auf die WebKit-Engine von Safari ab und erlaubt Angreifern, remote auf aufgerufene E-Mails, Kreditkarteninformationen, Passwörter, Autofill-Felder und andere Informationen zuzugreifen. Der Angriff kann auf Macs, iPhones und iPads mit Chips der A- oder M-Serie von Apple ausgeführt werden. Unter iOS und iPadOS ist die Angriffsfläche größer, weil hier alle erhältlichen Browser die WebKit-Engine nutzen müssen.

Websites mehrerer deutscher Städte nach DDoS-Attacken offline

Mitte Oktober waren mehrere Stadtportale infolge von DDoS-Angriffen stunden- oder sogar tagelang nicht mehr erreichbar. Betroffen waren unter anderem die Seiten der Städte Bielefeld, Dortmund, Dresden, Frankfurt am Main, Hannover, Köln und Nürnberg. Wer hinter den Attacken steckt, ist noch unklar.

Lockbit soll Daten von Boeing gestohlen haben

Die Cybergruppierung Lockbit will nach eigenen Angaben eine große Menge sensibler Daten des Flugzeugbauers Boeing erbeutet haben. Gegenüber der Nachrichtenagentur Reuters äußerte ein Sprecher von Boeing, dass man den Fall aktuell prüfe. Der US-amerikanische Boeing-Konzern ist sowohl im zivilen als auch im militärischen Bereich als Hersteller von Luft- und Raumfahrttechnik aktiv und verarbeitet dabei hochsensible Daten.

Attacke auf kommunalen IT-Dienstleister: 72 Städte und Gemeinden betroffen

Aufgrund einer Cyberattacke auf den kommunalen IT-Dienstleister „Südwestfalen-IT“ am 30. Oktober sind die IT-Systeme von 72 Kommunen in Südwestfalen stark beeinträchtigt. Die Angreifer infizierten die Systeme des IT-Dienstleisters mit einer Ransomware. Um eine weitere Verbreitung des Verschlüsselungstrojaners zu verhindern, wurde die Verbindung des Rechenzentrums zu und von allen Verbandskommunen gekappt.

Cyberangriff auf Degenia: IT-Infrastruktur offline

Aufgrund einer schweren Cyberattacke sah sich der Deckungskonzeptanbieter Degenia Anfang Oktober dazu gezwungen, seine IT-Infrastruktur offline zu nehmen. Durch die Maßnahme sollten weiterführende Schäden infolge des Angriffs vermieden werden. Aktuell halten die Wiederherstellungsarbeiten an den Systemen noch an (Stand: 26.10.2023).

Erneuter Datendiebstahl bei NATO-Portalen

Schon zum zweiten Mal binnen weniger Monate ist es Angreifern offenbar gelungen, in die IT-Systeme der NATO einzudringen und sensible Informationen zu stehlen. Nach eigenen Angaben erbeutete die Gruppe Siegedsec diesmal 9 GByte an Daten, die sie anschließend veröffentlichte. Die mehr als 3.000 Dateien stammen angeblich von sechs verschiedenen Webportalen der NATO.

Nach Cyberangriff: Uniklinik Frankfurt kämpft mit massiven Einschränkungen im Klinikbetrieb

Das Universitätsklinikum Frankfurt ist nach einer Cyberattacke seit Wochen offline. Die grundlegenden IT-Systeme innerhalb des Klinikums funktionieren zwar weiterhin, sind aber vom Internet getrennt. Das macht die Online-Terminvergabe, die E-Mail-Kommunikation und das Auslesen von Gesundheitskarten unmöglich. Bei der Krankenversorgung gibt es hingegen keine Einschränkungen.

Cyberangriff auf Versorgungsunternehmen im Sauerland

Die kommunalen Versorger Hochsauerlandwasser (HSW) und HochsauerlandEnergie (HE) wurden Anfang Oktober Ziel einer Cyberattacke, bei der Teile der IT-Infrastruktur mit einer Schadsoftware infiziert wurden. Einige Dienstleistungen für Kunden standen dadurch nur eingeschränkt zur Verfügung. Betroffen waren auch der Abrechnungsservice und die Finanzbuchhaltung. Die Versorgung mit Wasser, Strom und Gas war jedoch zu keinem Zeitpunkt gefährdet.

Hochschule Karlsruhe nach Cyberattacke nur eingeschränkt erreichbar

Die Hochschule Karlsruhe (HKA) wurde Anfang Oktober von einer Cyberattacke getroffen. Aus Sicherheitsgründen nahm die Hochschule ihre gesamte IT-Infrastruktur vorsorglich vom Netz. In der Folge waren Website, E-Learning-Plattform und E-Mail-Server der HKA wochenlang nicht mehr erreichbar.

Basis-Absicherung: BSI stellt Cybersecurity-Checklisten für Kommunen bereit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Projekt „Weg in die Basis-Absicherung“ (WiBA) gestartet. Um Kommunen den Einstieg in den IT-Grundschutz zu erleichtern, bietet das BSI 19 Checklisten zum Download an. Anhand einfacher Prüffragen können Gemeinden die dringlichsten Sicherheitsmaßnahmen selbst identifizieren und umsetzen.

BaFin startet Informationsplattform zur DORA-Regulatorik

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bietet eine neue Informationsplattform für die wichtigsten Regelungen und Neuigkeiten rund um die europäische Verordnung DORA. Der Digital Operational Resilience Act ist seit Anfang des Jahres in Kraft und zielt auf eine Stärkung der operativen Resilienz von Banken, Finanzdienstleistern und Versicherern ab. Hierzu führt die Verordnung ein harmonisiertes Regelwerk ein, das folgende Schwerpunkte adressiert: IKT-Risikomanagement, Berichterstattung, Belastbarkeitstests, IKT-Risiken Dritter, Informationsaustausch und Governance.

Ermittlungsbehörden zerschlagen Infrastruktur von Ragnar Locker

Internationalen Ermittlungsbehörden ist ein Schlag gegen die gegen Ransomware-Gruppierung Ragnar Locker gelungen. Dabei wurden unter anderem Server-Infrastruktur in Deutschland, den Niederlanden und Schweden sichergestellt. Allein in Deutschland sei die Gruppierung laut dem LKA Sachsen für Schäden in Höhe von mindestens 760.000 Euro verantwortlich.

Internationaler Strafgerichtshof verstärkt IT-Sicherheitsmaßnahmen

Nach einem Cyberangriff auf seine IT-Systeme im September hat der Internationale Strafgerichtshof seine Abwehrmaßnahmen ausgeweitet. Die bislang vorliegenden Beweise deuten dem Gericht zufolge „auf eine gezielte und fortschrittliche Attacke mit dem Ziel der Spionage“ hin. Gesicherte Erkenntnisse über die Angreifer liegen aber bisher nicht vor.

Erfahrungsbericht: Wie die Stadt Witten einen Ransomware-Angriff bewältigte

Im Oktober 2021 gab es eine Ransomware-Attacke auf die nordrhein-westfälische Stadt Witten. In der Folge waren sämtliche Daten und Systeme verschlüsselt und nicht mehr funktionsfähig. Der Wiederaufbau und die Erneuerung der IT-Systeme dauerte rund ein Jahr. Der ehemalige IT-Leiter schildert in einem persönlichen Erfahrungsbericht den Umgang mit diesem Vorfall.