Laut einem jährlichen IBM-Report haben die Kosten für Datenlecks weltweit im Schnitt pro Incident 4.88 Millionen US-Dollar erreicht – zehn Prozent mehr als im Vergleichszeitraum. Die Schäden sind grösser geworden, die Anforderungen an die Cybersecurity-Teams mit jedem Datenabfluss auch. Ausserdem verlängert sich die Wiederherstellungszeit. Bei den zwölf Prozent der betroffenen Unternehmen, die sich vom Angriff vollständig erholen konnten, dauerte es mehr als 100 Tage.
Eine weitere Erkenntnis ist, wie gravierend die Personalengpässe bei den Sicherheitsteams der Unternehmen bereits sind: 26 Prozent der Unternehmen verzeichnen im Schnitt um 1.76 Millionen US-Dollar höhere Kosten durch Sicherheitsverletzungen als Unternehmen ohne oder mit geringen Personalproblemen.
Kosten von Datenlecks auf Kunden abwälzen
Zwei von drei Organisationen setzen in ihrem SOC KI und Automatisierung ein. Das senkt die Kosten im Durchschnitt um 2.2 Millionen Dollar. Bei fast der Hälfte der Datenlecks waren Daten in mehreren Umgebungen gespeichert. Solche Lücken in der Datensichtbarkeit kosten laut dem IBM-Report mehr als 5 Millionen US-Dollar im Durchschnitt und deren Behebung dauert 283 Tage. Interessant auch: 63 Prozent der befragten Organisationen gaben an, dass sie aufgrund von Datenlecks die Kosten für Waren und Dienstleistungen erhöhen würden – ein Anstieg um sechs Prozent gegenüber dem Vorjahr.
Der Bericht «Cost of a Data Breach Report 2024» basiert auf einer eingehenden Analyse realer Datenschutzverletzungen, die zwischen März 2023 und Februar 2024 bei 604 Organisationen weltweit aufgetreten sind.
Cyberangriffe
Industriefirma Schlatter übersteht Ransomware-Angriff
Der Maschinenbauer Schlatter mit Sitz in Schlieren hat innert zehn Tagen einen Ransomware-Angriff überwunden. Die Täterschaft hatte laut Medienberichten versucht, das Unternehmen zu erpressen. Laut Inside-IT sei man zehn Tage nach dem Angriff wieder in den Normalbetrieb übergegangen. Ob Daten gestohlen oder publiziert wurden, war zu diesem Zeitpunkt nicht bekannt.
IT-Dienstleister Hug-Witschi bestohlen
Dem Freiburger IT-Spezialisten Hug-Witschi wurden Geschäftsdaten zu Produkten gestohlen. Das berichtet Inside-IT. Es seien 67 GB an Daten im Dark Web aufgetaucht, darunter aktuelle Dokumente wie Lieferscheine oder Rechnungen. Eine Lösegeldforderung sei nicht eingetroffen. Verantwortlich sei die in der Schweiz neu aktive Bande «Helldown».
Steuerbetrug mit SMS-Codes
Ein Betrug der anderen Art: Die Baselbieter Steuerverwaltung wurde Opfer von Cyberkriminellen, die eine Schwachstelle bei der Anmeldung im Webfrontend von E-Tax BL ausnutzten. Bei der erstmaligen Registrierung wird für das Benutzerkonto ein Bestätigungs-SMS mit einem Code an eine Handynummer im In- und Ausland verschickt. Plötzlich kam es zu einem sprunghaften Anstieg von teuren, internationalen SMS, an denen die Betrüger mitverdienen konnten. Zu einem Zugriff ins System und Datendiebstahl kam es aber nicht. Der SMS-Versand wurde als Sofortmassnahme nur noch für die Schweiz und umliegende Länder zugelassen. «bz online» zitiert Michael Schwaller, den Vorsteher der Baselbieter Steuerverwaltung: «Es ist kein Hacking, auch liegt keine Datenschutzverletzung vor.»
Tragischer Angriff auf einen Zuger Kuhstall
Cyberkriminelle kaperten im Kanton Zug die Rechner eines Milchbauern. Dieser konnte dann die Daten seines Melkroboters nicht mehr abrufen. Die Lösegeldforderung betrug laut Agrarheute.com 10’000 Dollar. Der Melkroboter funktioniert zwar auch ohne PC-Anbindung, jedoch empfing der Bauer keine Vitaldaten seiner trächtigen Kühe mehr. In der Folge bemerkte er einen Notfall zu spät: Kuh und Kalb starben.
Iranische Hacker suchen Einfluss auf den US-Wahlkampf
Laut einem Bericht von Google-Security-Experten hat sich eine den iranischen Revolutionsgarden nahestehende Hackergruppe um Zugang zu E-Mail-Konten von Wahlkampfmitarbeitenden der Demokraten und Republikaner bemüht. Bei einem Konto sei der Zugriff gelungen. Laut dem Bericht hätten mehr als die Hälfte der versuchten Angriffe der Hacker auf Ziele in den USA und in Israel fokussiert.
Hintergrund
E-Voting: Angriffe über fast 7'000 IP-Adressen
Die Schweizerische Post hat ihre Bilanz des Public Intrusion Tests (PIT) von Mitte bis Anfang Juli publiziert. Angriffsversuche seien von rund 7'000 IP-Adressen aus erfolgt. 29’000 Zugriffe auf das Testsystem seien verzeichnet worden. Rund 10'000 seien als Angriffsversuche zu werten. Die Ernte: vier Meldungen, wovon nur eine mit dem Schweregrad «tief» akzeptiert werden konnte. Die Belohnung für den Sicherheitsforscher: 1'500 Franken.
Microsoft erklärt Cloud-Service-Ausfälle
Microsoft kämpfte an einzelnen Tagen mehrere Stunden lang mit Ausfällen bei den Azure- und M365-Services. Der erste Grund: Der DDoS-Schutz reagierte nach einer grösseren Attacke falsch, «aufgrund eines Fehlers in der Implementation». Diese Einschätzung teilte Microsoft mit den Kunden in einem Dokument. Am darauffolgenden zweiten Ausfall war ein fehlerhaftes Konfigurationsfile an Verbindungsproblemen und Timeouts schuld.
Phishing via Messenger - der Hintergrund
Vermehrt erhalten Schweizer Smartphone-Besitzer Phishing-Nachrichten im Namen der Post. Wieso lassen sich diese nicht filtern? Wegen RCS (Rich Communication Services). Der Nachfolgestandard von SMS versendet nur verschlüsselte Meldungen. Somit kann der Mobileprovider keinen Filter darauf ansetzen. Apple wird in der neuesten iOS-Version nach Android nun auch RCS unterstützen. Damit hilft nur noch das Filtern direkt auf dem Gerät oder im Web. Der beste Schutz gegen Phishing in Textnachrichten, WhatsApp oder anderen Messengern: Absender und die enthaltenen Links prüfen – neue Nachrichten mit einem gesunden Misstrauen lesen.
Samsung passt Bug-Bounty-Programm an
Seit mehr als sechs Jahren betreibt Samsung ein eigenes Bug-Bounty-Programm. Nun hat das Unternehmen den ersten Jahresbericht dazu veröffentlicht. Insgesamt seien bisher 5 Millionen US-Dollar an Belohnungen geflossen. 2023 haben 113 IT-Sicherheitsforscher knapp 830’000 Dollar erhalten. Um ihre Motivation hoch zu halten, ist jetzt das Programm überarbeitet worden. Unter anderem richtet Samsung höhere Prämien aus.
Crowdstrike-Ausfall: was schiefgelaufen ist
In einem zwölfseitigen Dokument erläutert Crowdstrike, wie es zum aufsehenerregenden grossflächigen IT-Ausfall im Juli 2024 kam. Das fehlerhafte Update enthielt 21 Datenwerte, einen mehr als der Kernel-Treiber erwartete. «Ein trivialer Programmierfehler», fasst heise.de zusammen. Crowdstrike stellt auch Massnahmen zur Verhinderung eines neuerlichen Ausfalls vor, die allerdings andernorts zum Standardprozess gehören, etwa ausgiebiges Testen vor dem Rollout.
Schweiz wird Mitglied in der European Cyber Security Organisation (ECSO)
Der Bundesrat will mit der Mitgliedschaft der Schweiz in der ECSO die Cybersicherheit in der Schweiz stärken und sich mit den europäischen Partnern koordinieren. Nebst Unternehmen, Forschungszentren und Verbänden sind auch öffentliche Verwaltungen der EU-Mitgliedstaaten in der Organisation vertreten. Gleichzeitig gab das Verteidigungsdepartement VBS die Teilnahme der Schweiz an zwei Projekten der «Permanent Structured Cooperation» (PESCO) der EU bekannt. Dies soll die internationale Zusammenarbeit im Bereich der Cyberverteidigung stärken.
Schwachstellen
Solarwinds stopft Lücke in Helpdesk-System
Web Help Desk von Solarwinds zentralisiert das Helpdesk-Management. Die Lösung steht unter anderem bei Regierungsorganisationen oder im Gesundheitswesen im Einsatz. Nun steht für eine schwerwiegende Lücke ein Patch zur Verfügung, der das Ausführen von bösartigem Code aus der Ferne unterbindet. Die Schwachstelle (CVE-2024-28986) weist einen Schweregrad von 9.8 von zehn Punkten auf.
AMD-CPU-Lücke macht Malware-Infektionen chronisch
«Sinkclose» (CVE-2023-31315) heisst eine neu entdeckte Sicherheitslücke in AMD-Prozessoren. Über sie verschaffen sich Angreifer die höchsten Privilegien: Sie können Malware im System Management Mode (SMM) ausführen. In diesem ist die Ausführung von Software für das Betriebssystem und andere Anwendungen unsichtbar. Dieser Modus wird meist für die Steuerung von Hardwarekomponenten oder das Energiemanagement verwendet. Eine Malware-Infektion lässt sich somit schwer erkennen und nur mit grossem Aufwand bekämpfen. Ein schwacher Trost: Die Sicherheitslücke ist laut den Forschern von IOActive äusserst komplex. Laut AMD müssen Hacker zu ihrer Ausnützung bereits Kernelzugriff haben. AMD kennt die Lücke seit dem Herbst 2023. AMD stellt Firmwareupdates für zahlreiche Systeme zur Verfügung.
Microsoft Office reisst Lücken in MacOS
Sicherheitsforscher von Cisco Talos haben Sicherheitslücken in sechs MacOS-Versionen von Microsoft-Programmen entdeckt. Darüber lässt sich die Apple-Systemsicherheit umgehen. Betroffen sind Word, Outlook, PowerPoint, OneNote, Excel und Teams. Es gibt laut dem Bericht der Forscher acht Angriffspunkte. Microsoft stuft das Problem als geringes Risiko ein und hat bloss für OneNote und Teams einen Fix veröffentlicht.
Mehrere Lücken in F5 geschlossen
Sicherheitspatches schliessen mehrere Lücken in BIG-IP-Appliances von F5. Über diese könnten sich Angreifer Zugang zu Firmennetzwerken verschaffen.
So wird man alle Schutzfunktionen in Windows los
Ein Sicherheitsforscher von SafeBreach hat das Tool «Windows Downdate» entwickelt. Es tut genau das: Es setzt beliebige Windows-Komponenten auf veraltete, verwundbare Versionen zurück. Ein solcher Angriff wäre aber umständlich und setzt lokale Administratorenrechte oder das Auslösen der Systemwiederherstellung durch den User voraus. Ein Effekt des Tools: Windows verliert damit auch alle Schutzfunktionen.
Microsoft warnt vor ESXi-Lücke in VMWare
Mehrere Gruppierungen haben laut Microsoft bereits eine bekannte VMWare-Schwachstelle ausgenutzt. Seit dem Sommer gibt es einen Patch für die ESXi-Lücke. Darüber können Angreifer eine ESX-Administratorengruppe einrichten und neue User mit vollen Adminrechten auf dem Hypervisor einrichten. Im Microsoft-Bericht ist erklärt, wie die Hacker dies geschafft haben.
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
