bsi lagebericht 2014

BSI Lagebericht 2014

Wolfgang Kandek, Qualys, Inc

28 Januar 2015

BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik

• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder

• Die Lage der IT-Sicherheit in Deutschland 2014




• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert




• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert

• Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur, Staatliche Stellen, Forschung aber auch Bürgerinnen und Bürger

Vorfälle 2014Statistik der Bundesverwaltung 2014

• 60.000 verseuchte E-mails pro Monat

• 15-20 neue (dem AV unbekannte) Malware pro Tag

• 1 Angriff pro Tag nachrichtendienstlich

• 3500 Zugriffe auf Schadcodeservern pro Tag

• 1 DoS Angriff pro Monat

• 0 Mobilangriffe

Vorfälle 2014Wirtschaft 2014

• Angriff auf Stahlwerk richtet Schaden an Hochofen an

• Energiebetreiber in DE generiert Probleme in Österreich

• Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an und zieht Daten ab

• WindigoKampagne infiziert 30000 Linux Rechner in DE

• Bankrott in GB

• Hochfrequenzhandel in USA

Angriffskategorien• Spam: unter Kontrolle


• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit



• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden




• Botnetze: über 1 Million Maschinen in DE





• Social Engineering: Benutzerausbildung hilft






• Identitätsverwaltung: problematisch Username/Passwort







• DoS: in DE nicht besonders verbreitet







• DoS: in DE nicht besonders verbreitet

• APT: auf gewisse Bereiche (Rüstung, Hochtechnologie, Autos, Schiffe, Raumfahrt) gezielt, noch keine Lösung

Schwachstellen mit hoher Relevanz“Hauptproblem: Veraltete Patchstände von OS und Applikationen”

• Microsoft Internet Explorer, Office und Windows

• Adobe Flash und Reader

• Oracle Java

• Mozilla Firefox und Thunderbird

• Apple OS X, Quicktime und Safari

• Google Chrome

• Linux Kernel

• Schwachstellenampel CERT-Bund

Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember

• ISC Website basiert auf Wordpress, WP backdoor installiert

• Attackvektor unbekannt, wahrscheinlich durch WP plugin




• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074




• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074

• Patchlevel• Adobe Flash – November 2014• Internet Explorer – MS14-021 21 April 2014 (0-day)• Silverlight – MS13-087 Oktober 2014

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

Beispiel Exploit Kit Angler - Update• Angler und Exploits für 2 * 0-days


• Security Researcher Kafeine




• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar




• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen




• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar


• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows




• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar


• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

• Attack Kampagnen haben schon angefangen

Fazit• Gefahrenlage ist hoch

• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten

Fazit• Gefahrenlage ist hoch

• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten

• Firmen müssen sich selbst schützen• BSI (und andere) Vorgaben befolgen • Aus vergangen Angriffen lernen

• JP Morgan – Angreifer benutzten Username/Passwort gegen Server• CHS – ‘Heartbleed’ Schwachstelle im VPN Server• Sony – Wurm verbreitete sich durch SMB mit bekannten Passwörtern

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen


• 2FA einsetzen

2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar


• 2FA einsetzen


3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten

• Google Chrome Browser, Office 2013, Adobe Reader XI


• 2FA einsetzen



• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich


• 2FA einsetzen



• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich

4. Anomalien erkennen

Resourcen• BSI -

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

• CERT-Bund: https://www.cert-bund.de/schwachstellenampel

• Microsoft - https://technet.microsoft.com/library/security

• Adobe - http://blogs.adobe.com/psirt

• Apple - http://support.apple.com/en-us/HT1222

• Oracle Java - http://www.oracle.com/technetwork/topics/security/alerts-086861.html

• Microsoft EMET - https://technet.microsoft.com/en-us/security/jj653751

Vielen DankWolfgang Kandek

[email protected]

@wkandek

http://laws.qualys.com