Der BSI-Lagebericht 2014 zeigt eine kritische IT-Sicherheitslage in Deutschland, gekennzeichnet durch eine hohe Anzahl schwerer Sicherheitslücken und die ständige Verbesserung von Angriffswerkzeugen. Die Angriffe zielen auf diverse Bereiche ab, von der Wirtschaft über kritische Infrastrukturen bis hin zu staatlichen Institutionen, während Spam und Malware weiterhin Herausforderungen darstellen. Der Bericht betont die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen, einschließlich Identitätsmanagement und Patch-Management, zu verbessern, um der Bedrohungslage effektiv entgegenzuwirken.

1. BSI Lagebericht 2014
Wolfgang Kandek, Qualys, Inc
28 Januar 2015

2. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014

3. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch
• Anzahl der schweren Sicherheitslücken zu hoch
• Angriffswerkzeuge werden ständig verbessert

4. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch
• Anzahl der schweren Sicherheitslücken zu hoch
• Angriffswerkzeuge werden ständig verbessert
• Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur,
Staatliche Stellen, Forschung aber auch Bürgerinnen und
Bürger

5. Vorfälle 2014
Statistik der Bundesverwaltung 2014
• 60.000 verseuchte E-mails pro Monat
• 15-20 neue (dem AV unbekannte) Malware pro Tag
• 1 Angriff pro Tag nachrichtendienstlich
• 3500 Zugriffe auf Schadcodeservern pro Tag
• 1 DoS Angriff pro Monat
• 0 Mobilangriffe

6. Vorfälle 2014
Wirtschaft 2014
• Angriff auf Stahlwerk richtet Schaden an Hochofen an
• Energiebetreiber in DE generiert Probleme in Österreich
• Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an
und zieht Daten ab
• WindigoKampagne infiziert 30000 Linux Rechner in DE
• Bankrott in GB
• Hochfrequenzhandel in USA

7. Angriffskategorien
• Spam: unter Kontrolle

8. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

9. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden

10. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE

11. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft

12. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort

13. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet

14. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet
• APT: auf gewisse Bereiche (Rüstung, Hochtechnologie, Autos,
Schiffe, Raumfahrt) gezielt, noch keine Lösung

15. Schwachstellen mit hoher Relevanz
“Hauptproblem: Veraltete Patchstände von OS und Applikationen”
• Microsoft Internet Explorer, Office und Windows
• Adobe Flash und Reader
• Oracle Java
• Mozilla Firefox und Thunderbird
• Apple OS X, Quicktime und Safari
• Google Chrome
• Linux Kernel
• Schwachstellenampel CERT-Bund

16. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin

17. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin

18. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert
• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551
• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551
• Silverlight CVE-2013-3896/0074

19. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert
• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551
• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551
• Silverlight CVE-2013-3896/0074
• Patchlevel
• Adobe Flash – November 2014
• Internet Explorer – MS14-021 21 April 2014 (0-day)
• Silverlight – MS13-087 Oktober 2014

20. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine

21. Beispiel Exploit Kit Angler - Update
• Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine

22. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar

23. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen

24. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

25. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

26. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

27. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen

28. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen

29. Fazit
• Gefahrenlage ist hoch
• Regierung
• Strukturiert sich im Moment
• International Aspekte erschweren
• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten

30. Fazit
• Gefahrenlage ist hoch
• Regierung
• Strukturiert sich im Moment
• International Aspekte erschweren
• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten
• Firmen müssen sich selbst schützen
• BSI (und andere) Vorgaben befolgen
• Aus vergangen Angriffen lernen
• JP Morgan – Angreifer benutzten Username/Passwort gegen Server
• CHS – ‘Heartbleed’ Schwachstelle im VPN Server
• Sony – Wurm verbreitete sich durch SMB mit bekannten Passwörtern

31. Prioritäten
1. Identitätsmanagement verbessern
• 2FA einsetzen

32. Prioritäten
1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle
• Fokus auf Exploit verfügbar

33. Prioritäten
1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle
• Fokus auf Exploit verfügbar
3. Robust konfigurieren
• Software deinstallieren wo möglich
• Neuste Versionen einsetzen
• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI

34. Prioritäten
1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle
• Fokus auf Exploit verfügbar
3. Robust konfigurieren
• Software deinstallieren wo möglich
• Neuste Versionen einsetzen
• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI
• EMET oder ähnlich

35. Prioritäten
1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle
• Fokus auf Exploit verfügbar
3. Robust konfigurieren
• Software deinstallieren wo möglich
• Neuste Versionen einsetzen
• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI
• EMET oder ähnlich
4. Anomalien erkennen

36. Resourcen
• BSI -
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_
node.html
• CERT-Bund: https://www.cert-bund.de/schwachstellenampel
• Microsoft - https://technet.microsoft.com/library/security
• Adobe - http://blogs.adobe.com/psirt
• Apple - http://support.apple.com/en-us/HT1222
• Oracle Java -
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
• Microsoft EMET - https://technet.microsoft.com/en-us/security/jj653751

37. Vielen Dank
Wolfgang Kandek
wkandek@qualys.com
@wkandek
http://laws.qualys.com