Security-Briefing Juni 2024: Ukraine-Konferenz digital erfolgreich geschützt

Das monatliche Cybersecurity-Briefing mit den wichtigsten News für die öffentliche Hand. Diesen Monat im Fokus: Ukraine-Friedenskonferenz, BFH, Snowflake-Attacke, Kanti Frauenfeld, UK-Spitäler, Kaspersky-Verbot, Schwachstellen in Outlook, Windows und WLAN.

Von Bruno Habegger · 25. Juni 2024

Bereits im Vorfeld der Ukraine-Friedenskonferenz auf dem Bürgenstock am Wochenende des 15. Juni war klar: Russland ist zwar nicht eingeladen, aber die russischen Hacker werden trotzdem kommen. Entsprechend aufwendig das Sicherheitsdispositiv auch im Cyberraum, das vom Bundesamt für Cybersicherheit BACS koordiniert wurde. Als Betreiberin kritischer Infrastruktur für die öffentliche Hand hat auch Abraxas zusätzliche Vorbereitungen getroffen.

Das BACS zog nach der Konferenz eine erfreuliche Bilanz. Zwar gab es einige Angriffe, doch diesen gelang es nicht, die IT-Services empfindlich zu stören. Die Konferenz sei nicht gefährdet gewesen, heisst es in einem Nachbericht. Demnach haben insgesamt knapp hundert Spezialistinnen und Spezialisten von kantonalen und nationalen Behörden sowie Organisationen aus der Privatwirtschaft zusammengearbeitet. Die Planungsarbeiten dauerten mehrere Wochen. Dabei seien Zielpersonen sensibilisiert und Angriffsflächen minimiert worden.

Bereits vor der Konferenz haben DDoS-Angriffe auf Websites von 22 Schweizer Behörden und Organisationen stattgefunden. Angegriffen wurde auch die Sanitätsnotrufzentrale des Kantons Luzern. Mitarbeitende erkannten aber den Versuch. Ebenfalls gab es einige falsche Gerüchte. So habe beispielsweise ein Stromausfall in der Stadt Bern am Sonntag nichts zu tun gehabt mit der Ukraine-Konferenz.

Falsche Gerüchte werden heutzutage auf sozialen Medien auch mit KI gestreut. Das zeigt das Meme eines inzwischen abgeschalteten russischen Bots auf X/Twitter, der kurzzeitig eine Fehlermeldung anzeigte, wonach das ChatGPT-Abo abgelaufen sei. Ob echt oder nicht – die User haben sich einen Spass daraus gemacht.

Cyberangriffe

Datenabfluss bei der BFH
Die Berner Fachhochschule (BFH) informierte selbst über ein Datenleck – ob die Daten von Fremden missbräuchlich genutzt wurden, sei aber bis heute nicht klar. Betroffen sind Personendaten von rund 9600 Kursteilnehmenden. Es handle sich nicht um hochsensible Daten. Die BFH sperrte den Serverzugang und verstärkte ihr Awarenessbemühungen. Ausserdem wurden Betroffene per E-Mail informiert.

Snowflake-Angriff sorgt doch für Datenabfluss
Die Google-Tochter Mandiant warnt in einem Blogbeitrag vor einer andauernden Angriffswelle auf die Kunden von Snowflake. Bisher seien mehr als 160 Kunden über einen Datenabfluss informiert worden. Als Angreifer wird eine Hackergruppe namens UNC5537 genannt. Die erbeuteten Daten würden aktuell im Dark Web verkauft. Die Mandiant-Forscher bestätigen eine frühere Aussage, wonach keine Schwachstelle bei Snowflake selbst genutzt wurde. Die Zugriffe seien über gestohlene Anmeldeinformationen der Kunden erfolgt. Snowflake spricht von «einer begrenzten Anzahl betroffener Kunden». Mandiant hat einen ausführlichen Thread Hunting Guide veröffentlicht.

Angriff auf die Kanti Frauenfeld
Kurz vor den Abschlussprüfungen kam es zu einem Ransomwareangriff auf die IT-Infrastruktur der Kantonsschule Frauenfeld. Interne Systeme seien nicht betroffen, schreibt die Thurgauer Zeitung. Ausgefallen sei die unterrichtsbezogene IT. Die Prüfungen könnten dennoch durchgeführt werden. Auch die Thurgauer Zeitung berichtete, die Schülerinnen und Schüler hätten sich arrangiert und könnten sich trotzdem auf die Prüfungen vorbereiten.

Phishing-Angriffe auf US-Wahlen
Sophos beschreibt in einem Blogbeitrag, wie sich Phishing-E-Mails gezielt an Kandidaten für an sich unbedeutende lokale Wahlen richten. Im Fall des Autors, der selbst kandidierte, wurden auch Namen von Mitkandidaten genutzt. Laut der Untersuchung des Sicherheitsforschers stammten die Phishing-E-Mails aus Russland. Sophos geht davon aus, dass die US-Wahlen generell gefährdet sind, wenn selbst Wahlen für Schulbehörden angegriffen werden. Kandidatinnen und Kandidaten müssten umfassende Sicherheitsmassnahmen ergreifen.

Schlimme Folgen eines Ransomware-Angriffs auf Londoner Spitäler
Ein schwerer Ransomware-Angriff auf die IT-Systeme des Labor- und Pathologiedienstleisters Synnovis zieht zahlreiche Spitäler in Mitleidenschaft, die mit dem Unternehmen zusammenarbeiten. Alleine in der ersten Woche des Angriffs mussten laut britischer Gesundheitsbehörde NHS über 800 Operationen abgesagt und verschoben werden. Auch konnten viele Tests nicht durchgeführt werden. Eine volle Wiederherstellung der Synnovis-IT wird laut NHS noch Monate dauern. Sie informiert auf ihrer Website wöchentlich über die Folgen des Angriffs.

Hintergrund

Stromversorger mit neuen Security-Standards
Seit dem 1. Juli 2024 müssen Stromversorger verbindliche ICT-Minimalstandards einhalten. Sie sollen sich so besser gegen Cyberangriffe auf ihre Infrastruktur schützen. Es gelten dabei die Empfehlungen des Minimalstandards zur Verbesserung der IKT-Resilienz. Die Versorger müssen ihr Schutzniveau auf Verlangen bei der Elcom, ihrer Aufsicht, nachweisen.

Kaspersky-Software in den USA verboten
Keine Updates mehr ab dem 29. September 2024: US-Kunden der Sicherheitsfirma Kaspersky müssen sich jetzt nach Alternativen umsehen. Die Biden-Administration verbot wegen der engen Verbindungen zu Moskau den Einsatz der Software in den USA. Diese sei ein nationales Sicherheitsrisiko. Kaspersky kündigte an, sich rechtlich gegen den Bann zu wehren. Das Sicherheitsportal «Dark Reading» warnt, mit der Deinstallation sei es möglicherweise nicht getan, da solche Sicherheitssoftware oft nicht sicher genug entfernt werden könne.

Post erhöht Belohnung für ethische Hacker
Bis zum 3. Juli 2024 läuft ein weiterer öffentlicher E-Voting-Intrusionstest der Post. Ethische Hacker und Security-Experten können dieses Mal 50 Prozent mehr verdienen. Für schwere und kritische Schwachstellen winken zwischen 50’000 bis 230'000 Franken. Die öffentliche Überprüfung des E-Voting-Systems bleibt laut Mitteilung der Post zentral. Das bereits eingehend geprüfte System enthält wahrscheinlich auch weniger Schwachstellen. Die Erhöhung der Belohnungen trage dem Rechnung.

Vernehmlassung: Meldepflicht für Cybervorfälle mit zahlreichen Ausnahmen
Das Bundesamt für Cybersicherheit fungiert als Meldestelle für Cybervorfälle. Nun hat der Bundesrat die Vernehmlassung zur Verordnung über Cybersicherheit gestartet. Diese regelt unter anderem die Meldepflicht für Angriffe auf kritische Infrastrukturen. Nicht meldepflichtig sind Behörden und Unternehmen, wenn ein Angriff keine Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Ausserdem müssen kleine Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz von weniger als 10 Millionen Franken keine Meldung erstatten. Ausgenommen sind ebenfalls kleine Gemeinden mit weniger als 1000 Einwohnerinnen und Einwohnern. Wer kritische Infrastrukturen betreibt, hält sich an branchenspezifische Schwellenwerte. Die Vernehmlassung dauert bis 13. September 2024.

Zahlreiche Hindernisse bei der Cyber-Strafverfolgung
Cyberkriminalität in der Schweiz: Laut einem vom Bundesrat gutgeheissenen Bericht fehlen Ressourcen und sei die Kommunikation erschwert. Es gebe einen Mangel an personellen und technischen Mitteln. Kantonspolizeien können laut dem Bericht nur 70 Prozent aller eingegangen Anzeigen behandeln. Zudem fehle eine nationale Datenbank für einen Überblick über laufende Fälle. Die Bemühungen zur Prävention seien zudem ungenügend, bilanziert der Bericht.

Testen Sie jetzt Ihre Cybersicherheit
Kostenloser Abraxas Security-Check

Schwachstellen

Fremdzugriff per E-Mail
Laut dem Sicherheitsunternehmen Morphisec gibt es in Microsoft Outlook eine gefährliche Schwachstelle. Unter Umständen brauche es nicht einmal eine Interaktion des Users, um die Kontrolle über das betroffene System zu übernehmen und Schadcode einzuschleusen. Die Lücke CVE-2024-30103 ist bereits bekannt und mit einem hohen Schweregrad gekennzeichnet. Ein Patch steht seit kurzem bereit, eine Aktualisierung des Outlook-Clients wird dringend empfohlen.

Angreifbare UEFI-Firmware von Intel
In der SecureCore-UEFI-Firmware des Bios-Hersteller Phoenix Technologies wurde eine Sicherheitslücke identifiziert. Die Sicherheitsforscher von Eclypsium schreiben in ihrem Bericht, es handle sich um eine Pufferüberlaufschwachstelle. Angreifer können darüber innerhalb der UEFI-Firmware des Zielsystems Schadcode ausführen oder ihre Rechte ausweiten. Die Sicherheitslücke ist unter CVE-2024-0762 mit einem CVSS von 7,5 registriert. Ein Patch ist verfügbar, den jedoch die Gerätehersteller liefern müssen.

Lange offene Windows-Lücke
Die Security-Experten von Symantec haben ein Exploit-Tool genauer untersucht und festgestellt: Knapp zwei Wochen vor dem Patchday von Microsoft wurde die Lücke CVE-2024-26169 aktiv ausgenutzt. Ein zweites, ähnliches Tool enthielt einen Exploit für dieselbe Lücke und wurde im Dezember 2023 kompiliert. Somit stand die Lücke bis zum Patch im März 2024 relativ lange offen.

BACS warnt vor Checkpoint-Lücke
Inside-it hat beim Bundesamt für Cybersicherheit nachgefragt, wie es die Lücke in Check Point Network Security Gateways einstuft. Darüber wurde beispielsweise vor den Europawahlen die deutsche CDU angegriffen. Insgesamt seien 1800 IT-Systeme in Deutschland betroffen, schreibt Heise. Auch das BACS geht von einer Gefährdung vieler Systeme in der Schweiz aus. Die Schwachstelle sei kritisch, so das Bundesamt gegenüber dem Fachmagazin.

KI-Funktion «Recall» nun standardmässig ausgeschaltet
Nach heftigen Protesten hat Microsoft angekündigt, das neue KI-Feature «Recall» in Windows nicht einzuschalten. Es schiesst laufend Screenshots der User-Aktivitäten und lässt diese durch die KI auswerten. Die Sicherheitsbedenken sind gross.

Schadcode per WLAN
Microsoft hat eine schwere Lücke im WiFi-Treiber von Windows geschlossen. Die Sicherheitslücke CVE-2024-30078 erlaubt es Angreifern, auf dem Zielsystem in Funkreichweite Schadcode auszuführen. Ganz ohne Authentifizierung, nur mit einem speziell präparierten Netzwerkpaket.

Bruno Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.