Der Forrester Wave-Bericht bewertet anhand von 30 Kriterien 11 Anbieter auf dem Markt für Security Awareness und Training auf der Grundlage ihres aktuellen Angebots, ihrer Strategie und ihrer Marktpräsenz. KnowBe4 erhielt in 16 der 30 Bewertungskriterien die höchstmögliche Punktzahl.

„Die Nennung als eines der führenden Unternehmen in „The Forrester Wave for Security Awareness and Training Solutions“ ist eine Ehre für uns“, sagt Stu Sjouwerman, CEO von KnowBe4. „Wir sind besonders stolz auf die Ergebnisse im Kriterium Verwaltung und Support, wo wir die höchstmögliche Punktzahl in den Unterkriterien Onboarding, globale Präsenz sowie Kundensupport und Erfolg erhielten. Wir sind dankbar für das anhaltende Vertrauen von Unternehmen. KnowBe4 strebt nach Innovationen und leitet Unternehmen zu einer langfristigen Security Awareness sowie einem Verhaltens- und Kulturwandel.“

„Der direkte Einfluss auf die ABCs (Awareness, Behavior und Culture): Bewusstsein, Verhalten und Kultur einer Organisation war eine Kernkomponente der strategischen Pläne von KnowBe4, um seine Angebote über Sicherheitsbewusstsein und simuliertes Phishing hinaus zu erweitern und eine wirklich messbare Wirkung zu erzielen“, sagt Perry Carpenter, Chief Evangelist und Strategy Officer von KnowBe4. „Wir haben daran gearbeitet, ein umfassendes, evidenzbasiertes, branchenweit einzigartiges Security Culture Maturity Model zu entwickeln, um das Wissen, die Überzeugungen, die Werte und das Verhalten der Mitarbeiter zu identifizieren und zu stärken, damit sie zu einer effektiven menschlichen Verteidigungsschicht werden können. Die Position von KnowBe4 als führendes Schulungsunternehmen für Security Awareness in The Forrester Wave ist ein direktes Ergebnis unserer Innovationsfähigkeit, unserer erstklassigen Schulungen und unserer Mission, Mitarbeiter so zu schulen, dass sie intelligentere Sicherheitsentscheidungen treffen können.“

In dem Bericht heißt es: „Als einer der größten und etabliertesten Anbieter in diesem Bereich hat KnowBe4 eine beneidenswerte Wachstumskurve. Seine App zur Schulung der Security Awareness gehört zu den fünf Besten in der Microsoft Azure AD App Gallery. KnowBe4 verfügt über eine der größten Inhaltsbibliotheken, die wir bewertet haben, und die Inhalte für die Lernenden sind einzigartig, vielfältig und ansprechend. Organisationen, die auf der Suche nach Innovationen in den Bereichen Schulung, Verhalten und Kulturwandel sind, aber die Stabilität eines etablierten Anbieters schätzen, sollten KnowBe4 in Betracht ziehen.“

Um eine vollständige Kopie von „The Forrester Wave for Security Awareness and Training Solutions“ herunterzuladen, besuchen Sie: https://www.knowbe4.com/forrester-wave-security-awareness-training.

Bewertung des Schweregrads einer Schwachstelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt eine Liste von Schwachstellen und stuft sie nach ihrem Schweregrad zwischen 0 und 10 ein. Das Common Vulnerability Scoring System (CVSS) katalogisiert die einzelnen Schwachstellen in der Common Vulnerabilities and Exposures (CVE) – einer Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen – und vergibt Punktzahlen auf der Grundlage von Kriterien, die sich auf die Software auswirken. 

Erhält eine Schwachstelle die Punktzahl 1.0, steht dies für einen geringen Schweregrad und ein geringes Risiko. Eine Punktzahl zwischen 9.0 und 10.0 deutet auf eine kritische Schwachstelle hin und weist auf ein sehr großes Bedrohungspotenzial hin. Im Falle einer Bewertung von 10.0 für eine Schwachstelle, wäre es einem Angreifer beispielsweise möglich, seinen Code aus der Ferne zu starten und dabei jegliche Authentifizierung auf dem Zielsystem zu umgehen. Zudem wäre die Gesamtkomplexität für den Angreifer gering, sodass er die Sicherheitslücke leicht auszunutzen kann. Im Grunde könnte jeder, vom raffinierten Hacker bis zum Nationalstaat, die Kompromittierung eines Systems starten und es ohne großen Aufwand übernehmen.

Kombinierte Gefahr durch Log4j und RCE

Log4j ist eine Java-Protokollierungsanwendung, die Sicherheits- und Leistungsinformationen innerhalb anderer Java-basierter Anwendungen auf einem System protokolliert. Sie wird häufig in der Apache-Webdienstumgebung eingesetzt. Weltweit wird sie in über drei Milliarden Anwendungen und Systemen eingesetzt. Eine Schwachstelle in der Anwendung bot Cyberkriminellen im Wesentlichen eine Hintertür, durch die sie sich leicht Zugang verschaffen konnten.

Die Log4j-Schwachstelle wurde mit einem CVSS-Score von 10.0 eingestuft und erhielt die Kennung CVE-2021-45105. Diese Sicherheitslücke kann es Angreifern ermöglichen, eine manipulierte Netzwerkanfrage an ein System zu senden und die vollständige Kontrolle zu übernehmen, um Malware, Ransomware oder andere böswillige Aktionen zu starten.

Maßnahmen zur Risikominderung

Die weltweit anerkannten Fachleute der CISA (Cybersecurity and Infrastructure Security Agency), der US-amerikanischen Bundesbehörde, bieten folgende Ratschläge, die viele Cybersecurity-Richtlinien und -Standards zur Verringerung von Schwachstellen unterstützen: 

1. Überprüfen oder ermitteln Sie mit dem Internet verbundenen Systeme – und alle anderen Systeme innerhalb der Organisation –, die die anfällige Anwendung verwenden.
2. Patchen Sie alle Systeme mit der neuesten Software-Version, sobald diese verfügbar ist.

• Testen Sie den Patch auf replizierten, nicht produktiven Systemen, um die Funktionalität zu überprüfen.
• Patchen Sie zuerst alle kritischen und mit dem Internet verbundenen Systeme, um das Risiko eines Angriffs zu verringern.

1. Wenn Systeme den Patch nicht erhalten können, isolieren Sie sie und schränken Sie die Kommunikation und den Zugriff ein, bis das Risiko wirksam gemindert werden kann.
2. Überwachen Sie den Netzwerkverkehr und die Anwendungen auf seltsame Muster, die mit der Schwachstelle zusammenhängen.
3. Sicherheit ist der Prozess der Risikominderung. Das Risiko kann nie auf 0 reduziert werden, aber es kann gemindert, verwaltet und überprüft werden, um die Sicherheit eines Unternehmens zu gewährleisten. 

Gewonnene Erkenntnisse

Die Log4j-Sicherheitslücke belastete im Dezember 2021 viele IT-Administratoren, Entwickler und CISOs sehr. Die Bedrohungslage ist sehr ernst, aufgrund der hohen kritischen Einstufung, des mangelnden Wissens und der Leichtigkeit, mit der eine Kompromittierung bei dieser Schwachstelle ausgeführt werden kann. Dies führte dazu, dass Unternehmen in kürzester Zeit ihre Systeme mit Patches versehen mussten, um das Risiko eines Angriffs zu verringern. Es bleibt zu hoffen, dass die aus diesem Angriff gezogenen Lehren dazu geführt haben, dass Unternehmen Zero-Day-Schwachstellen mit dem Schweregrad 10.0 in ihre Playbooks aufgenommen haben und ihre Prozesse auf potenzielle Sicherheitslücken hin proaktiv überprüfen. 

Doch aufgrund von Zeit- und Personalmangel ist diese Sicherheitslücke in vielen Unternehmen noch nicht geschlossen worden. KnowBe4 bietet ein On-Demand-Webinar an, in dem Kevin Mitnick, Chief Hacking Officer bei KnowBe4 („The World’s Most Famous Hacker“) und Colin Murphy, Chief Information Officer bei KnowBe4, über ihre Erfahrungen mit der Log4j-Schwachstelle berichten. Hier können die Unternehmen aus erster Hand erfahren, wie Netzwerkumgebungen mit diesem unglaublich einfachen Hack getestet werden. Zudem werden mögliche Konsequenzen der Ausnutzung dieser Schwachstelle und Abhilfemaßnahmen diskutiert.

Microsoft warnt vor einer neuen Art von Blockchain-zentrierten Angriffen, die auf web3 (die dezentrale Umgebung, die auf der Blockchain geschaffen wird) abzielen. In diesem Zusammenhang hat das Microsoft 365 Defender Research Team den jüngsten Badger DAO-Angriff analysiert, bei dem im November und Dezember 2021 mehr als 120 Millionen Dollar von Blockchain-Nutzern gestohlen wurden. Die Sicherheitsexperten warnen, dass diese Angriffe auf dem Vormarsch sind: „Es gibt mehrere Arten von Phishing-Angriffen in der web3-Welt", schreibt Christian Seifert, Mitglied des Microsoft 365 Defender Research Teams. „Die Technologie ist noch aufkeimend und es können neue Arten von Angriffen entstehen."

Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen. Beim Ice-Phishing, wie es das Defender-Team nennt, wird ein Benutzer durch Social Engineering dazu verleitet, eine Transaktion zu unterzeichnen, die die Genehmigung der Token des Benutzers an den Angreifer delegiert, ohne dass dabei die privaten Schlüssel gestohlen werden. Der Angriff korrumpiert eine gängige Transaktionsart, die Interaktionen mit DeFi-Smart Contracts ermöglicht, da diese verwendet werden, um mit den Token des Nutzers zu interagieren (z.B. Swaps). Bei einem „Ice-Phishing"-Angriff muss der Angreifer lediglich die Adresse des Spenders in die Adresse des Angreifers ändern.

Dies kann sehr effektiv sein, da auf der Benutzeroberfläche nicht alle relevanten Informationen angezeigt werden, die darauf hinweisen, dass die Transaktion manipuliert wurde. Sobald die Genehmigungstransaktion unterzeichnet, eingereicht und abgebaut wurde, kann der Spender auf das Geld zugreifen. Im Falle eines ‚Ice-Phishing‘-Angriffs kann der Angreifer über einen gewissen Zeitraum Genehmigungen sammeln und dann alle Geldbörsen der Opfer schnell leeren. 

Weitere Phishingmethoden der Bedrohungsakteure

1. Speer-Phishing

Der Cyberkriminelle hat sich entweder über die Gruppe informiert oder Daten von Social-Media-Plattformen gesammelt, um Nutzer zu täuschen. Eine Spear-Phishing-E-Mail geht in der Regel an eine Person oder eine kleine Gruppe von Personen, die diesen Dienst nutzen. Sie enthält eine Form der Personalisierung – vielleicht den Namen der Person oder den Namen eines Kunden.

2. Executive Whaling

Diese Art zielt vor allem auf leitende Angestellte und Verwaltungsangestellte ab, um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Diese Art von Betrug zeichnet sich durch Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens aus.

3. Social Engineering

Der Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des Social Engineering kann auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln. LinkedIn, Facebook und andere Plattformen bieten eine Fülle von Informationen über die Mitarbeiter eines Unternehmens.  

Effektive Schutzmaßnahmen

Eine Schulung zum Thema Sicherheit kann die Nutzer und Mitarbeiter in den Unternehmen in die Lage versetzen, diese vielfältigen Arten von Betrug besser zu erkennen. Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Auf der Grundlage von 54 G2-Bewertungen ist die PhishER-Plattform von KnowBe4 die am besten bewertete SOAR-Software (Security Orchestration, Automation and Response) mit der höchsten Zufriedenheitsbewertung unter den SOAR-Produkten (93 von 100 Punkten). Das Analystenunternehmen G2 bewertet Produkte aus der SOAR-Kategorie algorithmisch auf der Grundlage von Daten aus Produktbewertungen, die von G2-Benutzern geteilt wurden, sowie von Daten, die aus Online-Quellen und sozialen Netzwerken stammen.

„Die PhishER-Plattform stellt eine enorme Zeitersparnis für Sicherheitsteams dar. Sie revolutioniert die Art und Weise, wie Teams von Nutzern gemeldete E-Mail-Bedrohungen behandeln, damit diese ihre Service Level Agreements einhalten können“, sagt Stu Sjouwerman, CEO von KnowBe4. „Die höchste Kundenzufriedenheit im Vergleich zu anderen Plattformen für Sicherheitsorchestrierung, -automatisierung und -reaktion ist eine beachtliche Leistung für PhishER, vor allem wenn man bedenkt, dass es die Software erst seit drei Jahren gibt. Dieser Bericht basiert auf Bewertungen, die direkt von den Endbenutzern von KnowBe4 stammen und zeigt, dass unsere eigenen Kunden PhishER für eine gute, starke und nützliche Plattform halten.“ 

Zu den wichtigsten Erkenntnissen des Berichts, die die Stärken von PhishER hervorheben, gehören: 

• 98 Prozent der Nutzer bewerteten PhishER mit vier oder fünf von fünf möglichen Sternen.
• 92 Prozent der Nutzer gaben an, dass sie PhishER weiterempfehlen würden.
• Hochverfügbarkeit/Disaster Recovery und Threat Intelligence waren die am besten bewerteten Funktionen von PhishER.

Mit PhishER können Sicherheitsteams die gefährlichsten Bedrohungen schneller und effizienter identifizieren. Die Plattform hilft den Sicherheitsteams auch bei der schnellen Bearbeitung von E-Mails, die als verdächtig gemeldet wurden, jedoch eigentlich legitim sind und vom Mitarbeiter bearbeitet werden müssen.

Weitere Informationen über PhishER finden Sie unter https://www.knowbe4.com/products/phisher. Um eine Kopie des Berichts herunterzuladen, besuchen Sie https://www.knowbe4.com/g2-grid-report-for-security-orchestration-automation-and-response. 

Die bisher noch unbekannten Täter erpressen das Entsorgungsunternehmen derweil und fordern nun Lösegeld für die Freigabe der Daten und Systeme. Nach den jüngsten Attacken auf das ebenfalls in Hamburg ansässige Tanklogistikunternehmen Oiltanking, reiht sich Otto Dörner ein in die Liste der Ransomware-Fälle und spiegelt die zunehmend ernster werdende Cyberbedrohungslage in Deutschland und Europa wider. 

Mangel an ausreichenden Sicherheitsschulungen trotz zunehmender Gefahrenlage

Da Otto Dörner ein Müllentsorgungsunternehmen ist, könnte der Angriffe weitreichende Folgen sowohl für Unternehmen als auch für Verbraucher haben. Sollten alle 35 Standorte des Unternehmens betroffen sein, würde dies Auswirkungen auf ganz Norddeutschland – und unter Umständen darüber hinaus – haben. Der Angriff zeigt, dass Cyberkriminelle bei der Auswahl ihrer Opfer keine Unterschiede machen. Jedes Unternehmen ist gefährdet, wenn seine Sicherheitsmaßnahmen nicht den Anforderungen entsprechen. Und im Falle eines Entsorgungsunternehmens mit vielen Mitarbeitern ist es sogar noch wichtiger, dafür zu sorgen, dass alle geschult sind – selbst diejenigen, die nicht tagtäglich mit Computersystemen zu tun haben.

Das IoT (Internet of Things) ist überall und die Gefahren allgegenwärtig, da immer mehr Geräte mit Firmennetzwerken verbunden sind und Mitarbeiter oft nicht ausreichend in Sachen Security geschult werden. Dazu kommt, dass die IoT-Hersteller im Allgemeinen mehr Wert auf Funktionalität als auf Sicherheit zu legen scheinen, was Unternehmen sehr anfällig für Angriffe wie Ransomware macht. Der beste Schutz für Unternehmen besteht darin, die eigenen Mitarbeiter zu einer „menschlichen Firewall“ zu machen und sie mit dem nötigen Wissen und Know-how auszustatten, um Social Engineering-Versuchen durch Phishing und co. standhalten zu können.