IT Security Newsletter: Microsoft-AV für Linux, Ransomware-Attacken, HTTPS-only

Aktuelle Berichte, Kommentare und Daten aus der IT-Security

In dieser Ausgabe lesen Sie

  • Microsoft erweitert Antivirus-Funktionen für Linux-Server

  • Infografik: Ransomware-Attacken auf deutsche Firmen

  • Das besondere Zitat: Der Datenschutz in der Corona-App wackelt

  • Weitere sicherheitsrelevante Themen: Kaspersky, HTTPS-only, Zoom

  • Sicherheits-Tipp: Webseiten gratis mit Hilfe von Cloudflare sichern

  • Ein ganz anderes Thema: Corona-Realität in der Schweiz

Microsoft erweitert Antivirus-Funktionen für Linux-Server

Ich kann mich noch an Gespräche vor ein paar Jahren mit Antivirus-Herstellern auf der CeBIT (RIP) erinnern, in denen es um die Aktivitäten von Microsoft in ihrem Stammgeschäft ging. Anfangs wurden die Anstrengungen aus Redmond, einen guten Virenscanner zu entwickeln, noch belächelt. Mittlerweile schlägt sich das mittlerweile Microsoft Defender Antivirus genannte Produkt aber immer besser. So erreicht es in Analysen des Magdeburger AV-Test Instituts nun regelmäßig die volle Punktzahl. Das damalige Schmunzeln dürfte bei manchen Beobachtern nun in Sorgenfalten übergegangen sein.

Dass der Microsoft-Virenscanner Teil jeder Windows-10-Installation ist, wissen die meisten. Weniger bekannt ist, dass Redmond auch zunehmend Druck auf das Enterprise-Segment macht. Erst vor ein paar Tagen gab Avira bekannt, dass man sich aus dem Markt für B2B-Antiviruslösungen zurückziehen und Ende 2021 den Support für Enterprise-Produkte einstellen werde.

Im Juni dieses Jahres präsentierte Microsoft bereits einen Virenscanner für Linux-Server, der sich via Puppet, Ansible oder einem anderen Management-Tool leicht installieren lässt. Microsoft Defender ATP for Linux soll die folgenden Distributionen vor Malware schützen:

  • RHEL 7.2+

  • CentOS Linux 7.2+

  • Ubuntu 16 LTS, or higher LTS

  • SLES 12+

  • Debian 9+

  • Oracle Linux 7.2

Jetzt hat das Unternehmen nachgelegt und die hauseigene Linux-AV-Lösung um EDR-Fähigkeiten (Endpoint Detection and Response) erweitert. Damit sollen sich Angriffe nun besser unter die Lupe nehmen und weitere Informationen sammeln lassen. So soll auch in Erfahrung gebracht werden können, wie eine Bedrohung in das System eindringen konnte und wie ein Schadprozess erstellt wurde. Letztlich verspricht Microsoft damit eine erleichterte Abwehr von Angriffen.

Momentan stehen die neuen EDR-Fähigkeiten aber nur als Vorschau bereit. Der Preview-Modus kann mit dem Befehl

sudo mdatp edr early-preview enable 

aktiviert werden. Anschließend lassen sich die neuen Funktionen zum Beispiel mit einem simulierten Angriff testen:

Verify that the onboarded Linux server appears in Microsoft Defender Security Center. If this is the first onboarding of the machine, it can take up to 20 minutes until it appears.

Download and extract the script file from here aka.ms/LinuxDIY to an onboarded Linux server and run the following command: “./mde_linux_edr_diy.sh”

After a few minutes, should be raised in Microsoft Defender Security Center. Look at the alert details, machine timeline, and perform your typical investigation steps.

Infografik: Ransomware-Attacken auf deutsche Firmen

Nahezu 60 Prozent der Unternehmen in Deutschland wurden in den vergangenen zwölf Monaten mit mindestens einer Ransomware attackiert, meldet das kalifornische Sicherheitsunternehmen Crowdstrike. Im Großen und Ganzen entspricht das dem weltweiten Durchschnitt, wie man aus der folgenden Grafik ersehen kann.

Was dort aber nicht zu finden ist: Deutsche Unternehmen haben eine vergleichsweise hohe Bereitschaft mit den Erpressern in Kontakt zu treten und die geforderten Lösegelder zu zahlen. 48 Prozent der Befragten In Deutschland seien bereit, mit den Erpressern zu verhandeln. 43 Prozent würden zudem die geforderten Summen bezahlen, um wieder an ihre Daten zu gelangen. Weltweit waren es nur 32 Prozent beziehungsweise 27 Prozent. Die Studie „2020 CrowdStrike Global Security Attitude Survey“ wurde von Vanson Bourne im Auftrag von Crowdstrike durchgeführt. Was würden Sie machen? Schreiben Sie mir unter itsecuritynewsletter@substack.com.

Das besondere Zitat: Der Datenschutz in der Corona-App wackelt

„Alles, was nach Einschränkung der Freiwilligkeit aussieht, und alles, was den Datenschutz einschränkt, ist kontraproduktiv.“

Stefan Brink, Landesbeauftragter für Datenschutz in Baden-Württemberg, zur Diskussion um eine Überarbeitung der Corona-Warn-App

Weitere sicherheitsrelevante Themen

  • Kaspersky macht mit seiner Charme-Offensive weiter: Der russische Sicherheitsanbieter, der vor allem in den USA unter politischen Druck geraten war, hat seine 2018 angekündigte Verlagerung der Datenverarbeitung und Datenspeicherung von Russland in die Schweiz nach eigenen Angaben nun abgeschlossen. Darüber hinaus kündigte Eugene Kaspersky, Gründer und CEO des Unternehmens, ein weiteres Transparenzzentrum an. Dieses soll Anfang 2021 in den USA eröffnet werden und Partnern die Möglichkeit bieten, einen Blick auf den Quellcode der Kaspersky-Produkte zu werfen.

  • Die aktuelle Firefox-Version 83 enthält eine neue Funktion, die noch mehr Webseiten-Betreiber dazu zwingen dürfte, auf HTTPS umzusteigen. Das neue Feature nennt sich „Nur-HTTPS-Modus“ und findet sich in den Einstellungen im Bereich „Datenschutz & Sicherheit“. Nachdem es aktiviert wurde (standardmäßig ist es noch abgeschaltet), blendet der Browser bei jedem Besuch einer nicht per HTTPS verschlüsselten Webseite eine Warnung ein. Damit dürfte ein großer Teil der Web-Surfer den Besuch abbrechen. Dank der kostenlosen SSL-Zertifikate von Let’s Encrypt ist es eigentlich kein großes Problem, auf HTTPS umzustellen. Manche Provider zwingen ihre Kunden jedoch dazu, kostenpflichtige Zertifikate zu erwerben, wenn sie dort mehr als eine Domain betreiben wollen.

  • Neue Sicherheitsfunktionen in Zoom: Der Videokonferenz-Anbieter drückt beim Thema Sicherheit nun auf die Tube, nachdem er wegen Unwahrheiten beim Thema Ende-zu-Ende-Verschlüsselung erwischt worden war (siehe IT Security Newsletter vom 16.11.2020). So können Teilnehmer an einem Online-Meeting einen Störer jetzt direkt melden. Der Host beziehungsweise Co-Host kann die Sitzung dann kurz unterbrechen, den Störenfried entfernen und das Trust & Safety-Team von Zoom benachrichtigen. Außerdem sollen Organisatoren in Zukunft per E-Mail gewarnt werden, wenn der „At Risk Meeting Notifier“ von Zoom Hinweise auf diegeplante Störung eines Online-Meetings zum Beispiel in sozialen Medien entdeckt.

Sicherheits-Tipp: Webseiten gratis mit Hilfe von Cloudflare sichern

Weiter oben habe ich beschrieben, welcher Druck auf Webseiten-Betreiber durch den „Nur-HTTPS-Modus“ von Firefox entsteht. Im Grunde ist das natürlich zu begrüßen. Für kleinere Webseiten entsteht aber ein Problem, wenn sie keinen Zugriff auf kostenlose Let’s-Encrypt-Zertifikate erhalten.

Man kann aber sozusagen einen “Pakt mit dem Teufel” eingehen und ein kostenloses Angebot von Cloudflare nutzen, um die Webseite doch noch per SSL erreichbar zu machen. Statt einem kostenpflichtigen SSL-Zertifikat wird dann eines von Cloudflare genutzt. Der Nachteil ist, dass der CDN-Anbieter (Content Delivery Network), der zu den größten weltweit gehört, damit nachverfolgen kann, wer die Seite besucht. Die Entscheidung, ob er diesen Dienst nutzen will, muss also jeder interessierte Webseiten-Betreiber selbst treffen.

Die Einrichtung ist relativ simpel: Mehr als einen kostenlosen Account bei Cloudflare benötigen Sie nicht. Nach der Registrierung geben Sie an, für welche Ihrer Webseiten Sie eine Umleitung einrichten wollen (siehe Screenshot). Dann wählen Sie den „Free“-Tarif aus. Anschließend zeigt Ihnen Cloudflare an, wie Sie die Nameserver-Einträge zu Ihrer Webseite ändern müssen. Ihr Webseiten-Provider muss diese Änderung natürlich unterstützen. Loggen Sie sich also dort in die Verwaltungsoberfläche zu Ihrer Domain ein, suchen im Menu nach der Möglichkeit, die Nameserver-Einträge zu bearbeiten und tragen die beiden von Cloudflare angegebenen Adressen ein. Nach dem Speichern dieser Daten dauert es meist ein paar Stunden, bis Ihre Webseite nun auch durchgehend per HTTPS erreichbar ist.

Mit einem kostenlosen Cloudflare-Account lassen sich kleinere Webseiten mit einem SSL-Zertifikat ausstatten, für die sich die Kosten sonst nicht lohnen.

Ein ganz anderes Thema: Corona-Realität in der Schweiz

Die Lage in der Schweiz gerät außer Kontrolle. Das Online-Magazin Republik schreibt in seinem Newsletter: „In den Schweizer Spitälern sind seit heute die Intensivbetten praktisch vollständig belegt.“ Und weiter:

„Als weitere Massnahme, um freie Betten auf den Intensivstationen freizuschaufeln sowie die Entscheidungen von Angehörigen und Medizinpersonal bei der Triage zu erleichtern, schlägt die SGI vor: «Alle Personen – vor allem diejenigen, die durch das neue Coronavirus besonders gefährdet sind – werden gebeten, sich im Rahmen einer Patientenverfügung Gedanken dazu zu machen, ob sie im Falle einer schweren Erkrankung lebensverlängernde Massnahmen erhalten möchten oder nicht.»

In eigener Sache: Fahrtenbuch-Apps

Die Computerwoche hat meine Sammlung mit Fragen und Antworten zu Fahrtenbuch-Apps veröffentlicht.

Wenn Sie Interessantes in diesem Newsletter gefunden haben, informieren Sie doch zum Beispiel Ihre Kollegen.

Aufmacherbild: Magda Ehlers von Pexels