BSI-Lagebericht 2023

Das BSI hat seinen jährlichen Lagebericht veröffentlicht. Spoiler: Er enthält keine Überraschungen für alle, die das Thema Informationssicherheit regelmäßig verfolgen. Aber mit knapp unter 100 Seiten ist er eine schöne, kompakte Zusammenfassung der aktuellen Lage. Konkret werden die wichtigsten Bedrohungen vorgestellt – hier ist wieder Ransomware die Nummer 1 –, die Gefährdungslagen für Wirtschaft, Gesellschaft und den Staat diskutiert und abschließend ein Blick auf Trends geworfen.

Neu ist der große Raum, den KI insbesondere in Form von großen KI-Sprachmodellen (LLM), einnimmt. Sie werden nicht nur beim Blick in die Zukunft im Abschnitt Trends besprochen, sondern auch in der konkreten aktuellen Bedrohungslage – schließlich ist KI längst bei Nutzern wie Angreifern auf vielfältige Weise im Einsatz. Die wichtigsten Punkte zur Absicherung von großen KI-Sprachmodellen hatten wir schon im Sommer in unserem Blog diskutiert.

BSI-Lagebericht 2023:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html

HiSolutions Research Blog zu großen KI-Sprachmodellen:
https://research.hisolutions.com/2023/08/llms-sind-auch-nur-schuetzenswerte-informationen/

Eine 10 von 10 – Ivanti CVE-2023‑35078 – Hilfe zur Selbsthilfe


Update vom 10.08.2023:

Für Ivanti Endpoint Manager Mobile (EPMM) wurde am 03.08.2023 eine weitere Schwachstelle (CVE‑2023-35082) mit einer CVSS-Bewertung von 10.0 veröffentlicht. Die Schwachstelle ist ähnlich zu der initial veröffentlichen CVE-2023-35078. Am 07.08.2023 hat Invanti veröffentlicht, dass diese Schwachstelle alle Versionen von EPMM betrifft. Die Maßnahmen zum Schließen der Schwachstelle und einer Identifizierung eines Angriffs wurden in dem Dokument „Hilfe zur Selbsthilfe – CVE‑2023‑35078“ ergänzt.


Update vom 01.08.2023:

Auf Basis der bereits veröffentlichten Expoits konnte der String zur Identifizierung eines Angriffs genauer bestimmt werden. Diese finden Sie in dem Dokument „Hilfe zur Selbsthilfe – CVE-2023 35078“ unter dem Punkt 2.


Update vom 31.07.2023:

Seit dem Wochenende gibt es die ersten öffentlichen Proof of Concept Exploits auf GitHub. Die teilweise in Python geschriebenen Programme ermöglichen eine automatische Ausnutzung der Ivanti Schwachstelle CVE-2023-35078.

Zusätzlich wurde am 28.07.2023 von Ivanti eine weitere Sicherheitslücke (CVE-2023-35081) publiziert. Hierbei handelt es sich um eine Schwachstelle welche es dem Angreifer erlaubt als authentifizierten Administrator beliebige Schreibvorgänge auf dem EPMM-Server durchzuführen.


Am 24. Juli 2023 hat der Hersteller Ivanti Informationen zu der Sicherheitslücke CVE-2023‑35078  veröffentlicht. Die Schwachstelle betrifft die Software „Ivanti Endpoint Manager Mobile“ (EPMM), auch bekannt als MobileIron Core. Um unseren Kunden eine Möglichkeit zu geben, erste Maßnahmen zu ergreifen und ihre Systeme zu prüfen, haben wir einen Leitfaden „Hilfe zur Selbsthilfe – CVE-2023‑35078“ erstellt. Der Leitfaden kombiniert die öffentlichen Informationen der staatlichen Sicherheitsbehörden, Fach-Blogs und die Angaben des Herstellers mit der Expertise der HiSolutions.

Sollten Sie Ivanti bzw. MobileIron Core nutzen, prüfen Sie bitte anhand des Dokuments, ob Sie alle relevanten Maßnahmen ergriffen haben.

HINWEIS: Das Dokument wird laufend aktualisiert. Bitte achten Sie daher auch auf weitere Veröffentlichungen auf unserem Research-Blog. Weitere Informationen und Cybersicherheitswarnungen erhalten Sie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html


Après-Kasper-Ski? Warnungen vor russischer Software

Die IT-Supply-Chain ist in den letzten Jahren nicht zuletzt dank internationaler Vorfälle wie Solarwinds oder Kaseya stark in den Fokus gerückt. Dabei geben wird schon seit Jahrzehnten gewissen Softwaretypen („Hilfs- oder Dienstprogramme“) tiefsten Einblick und Zugriff in bzw. auf unsere IT-Systeme.

Dass insbesondere Antiviren-Software aufgrund ihrer umfassenden Systemrechte besonders kritische Gäste in der eigenen Infrastruktur sind, die zudem funktionsbedingt einen Kanal zum Nach-Hause-Telefonieren benötigen, wurde ebenfalls immer wieder diskutiert. Und doch kommen nur ganz wenige Organisationen von ihnen los. Zu groß scheint der Nutzen in Bezug auf übliche Malware, zu groß das Compliance- und Haftungsrisiko, wenn man Antiviren-Software nicht nutzt.

Nun hat mit dem russischen Einmarsch in die Ukraine die Diskussion neuen Anschub erhalten: Der im Enterprise-Bereich beliebte Hersteller Kaspersky gilt potenziell als durch Moskau steuerbar. So blieb es diesmal nicht bei den üblichen abstrakten Aufrufen, Risikomanagement für die eigene Supply Chain zu betreiben. Das BSI nutzte vielmehr den bisher nur dreimal gezogenen § 7 BSI-Gesetz, um konkret vor dem Einsatz von Kaspersky-Produkten zu warnen.

Obwohl dies nicht mit einem Verbot gleichzusetzen ist, kommen deutsche Unternehmen und Behörden nun in Bedrängnis. Schließlich ist die Migration auf ein neues Antivirus-Produkt nicht mal nebenbei gemacht und außerdem mit erheblichen Kosten verbunden, von der Frage öffentlicher Mittel im Fall von Behörden ganz zu schweigen.

Wie ist das ganze also einzuordnen? Zunächst hat das BSI völlig recht: Der Einsatz russischer Produkte in deutschen kritischen Infrastrukturen war vor dem 24. Februar ein Risiko – und ist es jetzt umso mehr. Niemand kann sicher vorhersagen, inwieweit und wann sich der Krieg doch noch stärker in den bisher erstaunlich ruhigen Cyberraum bewegen wird.

Auf der anderen Seite ist Ruhe bewahren das Gebot der Stunde. Natürlich versuchen Geheimdienste und andere „state-sponsored“ Akteure seit Jahren, in Infrastrukturen hierzulande einzudringen. Und es ist zwar nicht auszuschließen, dass ihnen dafür bestimmte Software helfen kann, die schon einen Fuß in der Tür hat. Auf der anderen Seite haben bisherige Angriffskampagnen ganz andere Vektoren zu nutzen gewusst, von Phishing über RDP bis Teamviewer. Es gibt also viel mehr – und übrigens auch viel dringendere – Hausaufgaben zu tun, als sofort Kaspersky den Stecker zu ziehen. Und kritischen Playern wie der Rüstungsindustrie wäre mit solch einer Warnung des BSI eh nicht mehr zu helfen, wenn sie bisher auf derartige Produkte gesetzt hätten.

Allerdings ist es nützlich, den aktuellen Anlass zu einer ehrlichen Bestandsaufnahme zu nutzen, wie abhängig die eigene Infrastruktur von bestimmten Staaten ist. Und im Fall von Russland hat sich die Einschätzung, was Vertrauen und Sicherheit betrifft, eben noch einmal eingedunkelt.

Am Ende könnte die Abkehr von Kaspersky zwar nicht mit dem Paukenschlag der BSI-Warnung, sondern mit den Füßen erfolgen: Wenn bei den nächsten Lizenzverlängerungen die Geopolitik als ein weiteres, wichtiges Argument mit auf den Tisch kommt. Oder wenn aktuell die eine oder andere Cyberversicherung schreibt, dass ein Umstieg weg von Kaspersky zwar keine Voraussetzung für die Weiterführung der Police sei, im Schadensfall aber ggf. keine Deckung erfolge, falls das der Angriffsvektor wäre. Es ist also in der neuen Weltordnung ein Stück riskanter geworden, Kaspersky langfristig die Treue zu halten.

Fazit: Mit einer angemessenen Risikoanalyse und einem Lagebild der eigenen Situation im Zusammenspiel mit den konkreten Gefährdungen (Ransomware lässt grüßen) fährt man derzeit besser, als mit hektischer Deinstallation von Schutzsoftware.

https://www.dw.com/de/warnstufe-orange-deutsche-unternehmen-im-visier-russischer-hacker/a-61232466

BSI-Warnung: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/Archiv/2022/BSI_W-004-220315.html

Hafnium – Eine Hilfestellung zur Überwachung Ihrer Systeme mit Loki

Da die Schwachstellen bereits durch mehrere unterschiedliche Gruppen ausgenutzt wird, reicht es aktuell nicht aus, nur nach einer bestimmten Malware oder Webshell zu suchen. Aus diesem Grund hat das BSI eine Übersicht veröffentlicht, welche weiteren Analysen auf den Systemen durchgeführt werden sollten.

Zur Vereinfachung der Anwendung haben wir uns entschlossen, Ihnen eine Hilfestellung bei der Nutzung des Scanners Thor-Lite zu geben, welcher ebenfalls in der Hilfe des BSI erwähnt wurde. Zudem verweisen wir auf einen guten Artikel zur Überprüfung Ihres Active Directories. Bitte beachten Sie auch die immer die aktualisierte „Selbsthilfe„.

UPDATE vom 24.03.2021: Empfehlung zur Dauer der Überwachung der Systeme nach Kompromittierung durch ProxyLogon ergänzt (12 Monate).

UPDATE vom 02.08.2022: Aufgrund der Lizenzbedingungen Scanner Thor entfernt, Scanner Loki empfohlen.

Feedback ist gerne erwünscht. Aufgrund der Kritikalität der Schwachstelle haben wir uns entschlossen, alle Informationen hierzu als TLP-White zu veröffentlichen. Das Dokument ist zudem lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Baustein-Baustelle: IT-Grundschutzkompendium 2021 veröffentlicht

Das BSI hat turnusgemäß die 2021er-Version des IT-Grundschutz-Kompendiums veröffentlicht, zunächst nur als PDF. In der Version 2021 sind wieder zwei Bausteine neu hinzugekommen: „CON.10 Entwicklung von Webanwendungen“ und „INF.11 Allgemeines Fahrzeug“. Die übrigen 96 Bausteine wurden überarbeitet, davon 6 Bausteine umbenannt, zusammengefasst und/oder in eine andere Schicht verschoben. Anwendern des Standards bleibt es daher nicht erspart, ihre Sicherheitskonzepte weitgehend zu überarbeiten, um IT-Grundschutz-konform zu bleiben.

https://www.heise.de/news/Neues-IT-Grundschutz-Kompendium-Web-Anwendungs-und-Fahrzeug-IT-Sicherheit-5051743.html

Das BSI hat übrigens kürzlich seine Web-Präsenz relauncht, sodass sich die meisten Deep-Links zu Grundschutz-Bausteinen und vielen anderen Themen leider geändert haben.

Aller guten 200er sind 4: BSI-Standard 200-4 veröffentlicht

Aller guten Dinge sind vier. Das gilt bekanntermaßen auch für Standards, und so hat das BSI gerade den lange erwarteten Standard 200-4 als Community Draft veröffentlicht. Der nun nach 200-1, 200-2 und 200-3 endlich ebenfalls modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen. Der in Co-Autorschaft mit HiSolutions entwickelte Standard wurde auf dem 1. IT-Grundschutz-Tag 2021 am 19.01. vorgestellt.

Das BSI freut sich über jeden Kommentar zum Draft an it-grundschutz@bsi.bund.de bis zum 30.06.2021. Schon während der Kommentierungsphase sollen die Kommentare gesichtet und konsolidiert werden, sodass bedarfsweise auch frühzeitig überarbeitete Fassungen zur Verfügung gestellt werden können.

Ankündigung von HiSolutions: https://www.hisolutions.com/detail/bsi-veroeffentlicht-neuen-standard-200-4

Download des Community Draft: (Nachtrag: Inzwischen veröffentlichter Standard: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html)

Heise-Artikel zum 200-4: https://www.heise.de/news/Neuer-BSI-Standard-zum-Business-Continuity-Management-5030647.html 

IT-SiG 2.0 v0.3

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

Lage-Aware statt Lagerware: BSI-Lagebericht 2020

Mit dem neusten „Bericht zur Lage der IT-Sicherheit in Deutschland“ hat das BSI auch 2020 wieder einen umfassenden Überblick über die Bedrohungen und Risiken im Cyber-Raum aus deutscher Sicht vorgelegt. Demnach bleibt die IT-Sicherheitslage angespannt. Insbesondere wurden verstärkt aktuelle Themen wie die COVID-19-Pandemie von Angreifern ausgenutzt.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.html

Up to date & verfügbar: Neuer BSI-Podcast

Und noch einmal BSI: Das Bundesamt betreibt jetzt unter dem Titel „Update verfügbar“ einen eigenen Podcast. Die Pilotfolge (34 Minuten) hat das Thema „Cyber-Sicherheit und Deep Fakes“. Mit den üblichen undiplomatischen Kommentaren etwa auf YouTube geht das Social Media Team des Bundesamts bisher galant um – und immerhin zeigen 52:1 Daumen von knapp 3000 Aufrufern bereits nach oben.

https://www.youtube.com/watch?v=WW7afBCUGow und „überall, wo es Podcasts“ gibt

Tsetsetsetsetse-Fliege: C5-Tsusätse

Das BSI hat zum Cloud-Security-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) zwei Zusatzdokumente veröffentlicht, die Testierung und Interpretation erleichtern. Die Kurzübersicht zur Berichterstattung fasst grundlegende Elemente des C5-Prüfungsberichts als Orientierungshilfe für den Prüfer zusammen. Der Auswertungsleitfaden gibt Cloud-Kunden eine Struktur vor, einen C5-Bericht systematisch auszuwerten, um die eigenen Controls für die Nutzung einzurichten und hierdurch das mit der Cloud-Nutzung verbundene Risiko einschätzen und steuern zu können.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html